Virus Bagle

[pear]

Bonjour,

Où en êtes vous avec Elibagla ?

Vous n'en avez pas posté le rapport.

 

Désinstallez cela:

C:\Program Files\Macrogaming\SweetIMBarForIE

 

Vérifier les paramètres d'Internet ...

 

1) Dans Internet Explorer, clique sur Outils > Options Internet... puis, onglet "Sécurité".

2) Choisir la zone Internet puis, clique sur le bouton Niveau par défaut.

 

Si cela ne fonctionne pas, essayer ceci

 

1) Clic sur le bouton Personnaliser le niveau...

2) Cocher tous les boutons radio Activer ou Demander.

3) Valider puis, relancer Internet Explorer.

4) Accéder de nouveau à l'onglet "Sécurité".

5) Cocher le bouton radio Niveau par défaut...

6) Valider puis, relancer Internet Explorer.

 

Pour Windows XP SP2 il est possible de refaire un reset de Winsock

(dans le cas où un antivirus se charge dans les LSP il sera supprimé aussi),

cela se fait comme ceci :

Menu Démarrer / executer et taper : netsh winsock reset catalog

Redémarrez l'ordinateur.

 

*

Téléchargez Hijackthis de TrendMicro.

* Décompressez le dans un dossier à la racine du disque dur

renommer ce dossier par exemple Karcher

Sous Vista,,il faut faire clic-droit >> "Exécuter en tant qu'Administrateur" sur Hijackthis.exe sinon HJT tourne mais ne fixe rien.

* Lancer le fichier Hijackthis.exe

* Cliquer sur Do a system scan and save a log file

* Copier-coller le rapport dans un nouveau message ici

[IceQube]

Bonjour,

 

Désolé de toujours répondre avec 6h de retard mais je suis au Canada.

Je vous poste le dernier rapport d'Elibagla où il n'avait à priori rien trouvé :

 

 

Tue Jun 17 18:35:15 2008

EliBagle v11.47 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\MURIEL\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\MURIEL\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

 

Tue Jun 17 18:45:31 2008

EliBagle v11.47 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192612.SYS --> Eliminado Bagle (rootkit)

 

Nº Total de Directorios: 5913

Nº Total de Ficheros: 93232

Nº de Ficheros Analizados: 9553

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

 

Tue Jun 17 21:02:48 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

 

Tue Jun 17 21:03:07 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192645.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192646.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\196390.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\258031.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\311765.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\350906.EXE --> Eliminado Bagle

 

Nº Total de Directorios: 4354

Nº Total de Ficheros: 60134

Nº de Ficheros Analizados: 9415

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7

 

Tue Jun 17 21:36:10 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Tue Jun 17 21:36:13 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192648.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192649.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192650.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192651.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192652.EXE --> Eliminado Bagle

 

Nº Total de Directorios: 4355

Nº Total de Ficheros: 60138

Nº de Ficheros Analizados: 9413

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

 

Tue Jun 17 22:08:37 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Tue Jun 17 22:08:39 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 2420

Nº Total de Ficheros: 35859

Nº de Ficheros Analizados: 3573

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

 

Tue Jun 17 22:29:08 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Tue Jun 17 22:29:10 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 4355

Nº Total de Ficheros: 60139

Nº de Ficheros Analizados: 9408

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Tue Jun 17 23:08:52 2008

EliBagle v11.47 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\MURIEL\APPLICATION DATA\M\FLEC006.EXE --> Eliminado Bagle

[IceQube]

J'ai bien désinstaller SweetIm.

 

Par contre impossible de lancer Hijackthis, il me dit à chaque fois que ".../Hijackthis.exe n'est pas une application win32 valide".

J'ai essayé de passer en mode sans échec mais pas moyen de démarrer dans ce mode, j'ai un écran bleu puis je reviens au choix du mode de démarrage.

 

Pour la connexion internet, le problème ne vient pas d'internet explorer ou firefox, mais de ma connexion wifi directement. Elle ne s'active pas et il est dit que "Windows ne peut pas configurer cette connexion sans fil". Je ne sais pas comment réactiver la connexion (j'ai Windows XP Edition familiale Sp2).

 

Enfin je ne sais pas si ça peut aider mais lorsque je connecte ma clé usb sur le pc infecté (pour y mettre hijackthis ou autre) je récupère à chaque fois un cheval de troie (détecté par antivir sur le PC depuis lequel je me connecte à internet) dont le nom est Nilage et également le virus Bagle (application MSDos en fichier caché sur ma clé usb).

 

Merci pour votre aide.

Modifié le 18 juin 2008 par IceQube

[pear]

Désolé de toujours répondre avec 6h de retard mais je suis au Canada.

 

C'est plus facile d'attendre que d'empêcher la terre de tourner .

 

Avez vous retrouvé internet ?

Sinon:

 

Vérifier les paramètres d'Internet ...

 

1) Dans Internet Explorer, clique sur Outils > Options Internet... puis, onglet "Sécurité".

2) Choisir la zone Internet puis, clique sur le bouton Niveau par défaut.

 

Si cela ne fonctionne pas, essayer ceci

 

1) Clic sur le bouton Personnaliser le niveau...

2) Cocher tous les boutons radio Activer ou Demander.

3) Valider puis, relancer Internet Explorer.

4) Accéder de nouveau à l'onglet "Sécurité".

5) Cocher le bouton radio Niveau par défaut...

6) Valider puis, relancer Internet Explorer.

 

Pour Windows XP SP2 il est possible de refaire un reset de Winsock

(dans le cas où un antivirus se charge dans les LSP il sera supprimé aussi),

cela se fait comme ceci :

Menu Démarrer / executer et taper : netsh winsock reset catalog

Redémarrez l'ordinateur.

 

Avez vous supprimé le programme vérolé ?

 

On va faire un dernier contrôle avec Combofix.

 

Vous allez télécharger Combofix.

Auparavant, et pour pour éviter quelque mauvaise manoeuvre avec ce logiciel très puissant,lisez attentivement ce

Tutoriel:

 

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, ainsi que tout pare-feu en cours d'exécution car ils pourraient perturber le fonctionnement de ComboFix.

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

1)Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

Nous allons d'abord installer la Console de Récupération sur le pc .

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >

http://i261.photobucket.com/albums/ii49/Ma...te/CFScript.gif

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

 

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

2)

* Taper sur la touche 1 pour démarrer le scan.

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Lorsque le scan sera terminé,( cela pourrait prendre un certain temps),un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

 

Je vous rappelle,comme indiqué dans mon premier message,que Bagle a supprimé vos protections( parefeu, antivirus, antispyware)et souvent la connexion internet.

Il vous faudra donc tout désinstaller et réinstaller par la suite , après les nécessaires vérifications que nous sommes en train de faire..

[IceQube]

Avez vous retrouvé internet ?

Non je n'ai toujours pas internet et j'ai déjà essayé de faire ce qe vous m'avez dit dans le précédent message mais comme je le disait juste au dessus, c'est ma connexion wifi qui ne fonctionne plus et non firefox ou IE.

Avez vous supprimé le programme vérolé ?

Oui j'ai bien supprimé SweetIm comme vous me l'avez dit.

 

On va faire un dernier contrôle avec Combofix.

Je lance l'analyse Combofix tout de suite.

 

Et à tout hasard, avez-vous bien vu mon dernier post, au sujet d'Hijackthis qui ne fonctionne pas et ma connexion internet car j'ai l'impression que vous n'avez vu que mon post avec le dernier rapport Elibagla ?

 

Merci beaucoup pour votre aide.

[IceQube]

Arfffff, ça ne marche toujours pas :

 

".../Combofix n'est pas une application win32 valide" !

 

Décidément il est coriace ce virus.

Modifié le 18 juin 2008 par IceQube

[pear]

Effectivemment, je n'avais pas vu ce message.

Quand vous lancerez Combofix, branchez votre clé usb.

[IceQube]

Effectivemment, je n'avais pas vu ce message.

 

C'est un peu de ma faute, je poste 2 messages à la suite comme je viens de refaire !

Je ne peux pas lancer Combofix, "Combofix n'est pas une application win32 valide"

[pear]

Cela signifie que bagle est encore là.

 

Bagle cible tout fichier nommé ComboFix et génère un message d'erreur.

Désinstallez Combofix

Démarrer > Exécuter et copier/coller cette commande > "%userprofile%\Bureau\combofix.exe" /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

 

lEn cas d'échec ,il est nécessaire de renommer ComboFix.exe en Combo-Fix.exe avant le téléchargement pour traiter cette infection.I

Pour cela Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous...."

Choisir le bureau

En bas, à Nom du Fichier:

Insérez un trait d'union (-) entre Combo et Fix.

Vous devez obtenir -> Combo-Fix.exe

Cliquez enfin sur -> Enregistrer

Lancez Combo-fix.exe

En cas de problème, :

méthode illustrée

 

.

[IceQube]

J'ai pu lancer Combofix, et il m'a généré le rapport suivant log.txt :

 

ComboFix 08-06-16.5 - Muriel 2008-06-18 16:15:42.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.118 [GMT 2:00]

Endroit: C:\Documents and Settings\Bureau\Combo-Fix.exe

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

ADS - svchost.exe: deleted 68 bytes in 1 streams.

ADS - ntoskrnl.exe: deleted 228 bytes in 1 streams.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\Muriel\new.txt

C:\WINDOWS\system32\drivers\downld

C:\WINDOWS\system32\drivers\downld\271625.exe

C:\WINDOWS\system32\drivers\downld\299125.exe

C:\WINDOWS\system32\drivers\downld\376843.exe

C:\WINDOWS\system32\drivers\downld\397375.exe

C:\WINDOWS\system32\drivers\downld\434281.exe

C:\WINDOWS\system32\drivers\downld\467656.exe

C:\WINDOWS\system32\drivers\downld\520625.exe

C:\WINDOWS\system32\drivers\downld\537531.exe

C:\WINDOWS\system32\drivers\downld\603093.exe

C:\WINDOWS\system32\drivers\downld\650578.exe

C:\WINDOWS\system32\drivers\downld\676593.exe

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\WINDOWS\system32\drivers\mdelk.exe

C:\WINDOWS\system32\drivers\srosa.sys

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SROSA

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-18 to 2008-06-18 ))))))))))))))))))))))))))))))))))))

.

 

2008-06-18 16:12 . 2008-06-18 10:11 1,842,686 --a------ C:\Documents and Settings\Bureau\Combo-Fix.exe

2008-06-18 14:32 . 2008-06-18 14:32 <REP> d-------- C:\karcher

2008-06-18 02:25 . 2008-06-18 02:25 0 --a------ C:\23990098.$$$

2008-06-17 23:06 . 2008-06-17 23:06 <REP> d-------- C:\Downloads

2008-06-17 23:06 . 2008-06-17 23:06 <REP> d-------- C:\Bases

2008-06-17 23:05 . 2008-06-17 23:06 <REP> d-------- C:\Kaspersky

2008-06-17 20:57 . 2006-06-01 19:49 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS

2008-06-17 20:57 . 2006-08-17 16:57 <REP> d-------- C:\Documents and Settings\Administrateur\Voisinage r‚seau

2008-06-17 20:57 . 2006-05-26 09:54 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-06-17 20:57 . 2006-06-01 19:49 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles

2008-06-17 20:57 . 2006-06-01 19:49 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents

2008-06-17 20:57 . 2006-06-01 19:49 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer

2008-06-17 20:57 . 2006-06-01 19:49 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris

2008-06-17 20:57 . 2008-06-18 05:54 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2008-06-17 20:57 . 2006-06-01 19:49 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\toshiba

2008-06-17 20:57 . 2008-06-17 20:57 <REP> d-------- C:\Documents and Settings\Administrateur

2008-06-17 18:46 . 2008-06-18 16:15 401,720 --a------ C:\Documents and Settings\Bureau\scanner.exe

2008-06-17 18:35 . 2008-06-17 21:02 <REP> d-------- C:\Muestras

2008-06-17 18:35 . 2008-06-17 08:58 54,795 --a------ C:\Documents and Settings\Bureau\elibagla-9875.exe

2008-06-10 22:58 . 2008-04-14 17:52 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys

2008-06-10 22:58 . 2008-04-14 17:52 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

2008-05-27 02:39 . 2004-07-24 22:47 49,152 --a------ C:\WINDOWS\system32\OctaneARM.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-18 12:30 --------- d-----w C:\Program Files\Macrogaming

2008-06-17 16:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\4D

2008-06-01 22:23 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-06-01 22:23 --------- d-----w C:\Program Files\Fichiers communs\Nikon

2008-05-16 13:07 --------- d-----w C:\Documents and Settings\Muriel\Application Data\AdobeUM

2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys

2008-04-25 09:48 --------- d-----w C:\Documents and Settings\Muriel\Application Data\LimeWire

2008-01-20 11:49 65,648 ----a-w C:\Documents and Settings\Muriel\Application Data\GDIPFONTCACHEV1.DAT

2006-10-31 20:05 0 ----a-w C:\Documents and Settings\Muriel\Application Data\wklnhst.dat

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]

"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2004-03-08 03:09 643072]

"MediaDico9"="C:\Program Files\Micro Application\9 DICOS Indispensables\LanceMediaDICO9.exe" [2002-04-09 03:25 199168]

"SetDefaultMIDI"="MIDIDef.exe" []

"RemoteCenter"="C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE" [2004-03-08 03:09 643072]

"Creative MediaSource Go"="C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe" [2003-08-12 14:48 131072]

"JustVoip"="C:\Program Files\JustVoip.com\JustVoip\JustVoip.exe" [ ]

"Sticky Pad"="C:\Program Files\StickyPad\StickyPad.exe" [2007-04-23 23:13 528441]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-17 15:37 344064]

"RTHDCPL"="RTHDCPL.EXE" [2006-04-18 06:34 16143872 C:\WINDOWS\RTHDCPL.exe]

"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2004-03-23 22:40 196608]

"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2005-12-16 02:41 188416]

"AGRSMMSG"="AGRSMMSG.exe" [2006-03-18 08:22 89541 C:\WINDOWS\agrsmmsg.exe]

"PadTouch"="C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-12-22 13:19 1077329]

"CeEKEY"="C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe" [2006-03-16 13:27 634880]

"HWSetup"="C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 13:45 28672]

"SVPWUTIL"="C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 13:45 65536]

"TPNF"="C:\Program Files\TOSHIBA\TouchPad\TPTray.exe" [2006-04-04 14:57 53248]

"Zooming"="ZoomingHook.exe" [2005-06-06 09:58 24576 C:\WINDOWS\system32\ZoomingHook.exe]

"TPSMain"="TPSMain.exe" [2005-08-12 11:14 266240 C:\WINDOWS\system32\TPSMain.exe]

"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 09:24 118784]

"Tvs"="C:\Program Files\TOSHIBA\Tvs\TvsTray.exe" [2006-02-02 13:11 73728]

"DDWMon"="C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2006-04-28 11:38 262144]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-17 19:04 98304]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-06-18 16:17 79224]

"CTSysVol"="C:\Program Files\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe" [2003-09-17 11:43 57344]

"SbUsb AudCtrl"="sbusbdll.dll" [2004-07-09 04:27 119296 C:\WINDOWS\system32\sbusbdll.dll]

"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative MediaSource Go]

--a------ 2003-08-12 14:48 131072 C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\LimeWire\\LimeWire.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

R2 tdudf;TOSHIBA UDF File System Driver;C:\WINDOWS\system32\DRIVERS\tdudf.sys [2006-04-18 15:12]

S3 sbusb;Sound Blaster USB Audio Driver;C:\WINDOWS\system32\DRIVERS\sbusb.sys [2004-07-27 11:31]

 

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-18 16:22:19

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\acs.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\WINDOWS\system32\TODDSrv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\Bureau\elibagla-9875.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-06-18 16:25:45 - machine was rebooted

ComboFix-quarantined-files.txt 2008-06-18 14:25:42

 

Pre-Run: 33,800,413,184 octets libres

Post-Run: 33,917,108,224 octets libres

 

159 --- E O F --- 2008-06-17 01:05:51