Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

pc infecte par win32\beagle.qc ver [resolu]

mayasun

Par mayasun
dans Analyses et éradication malwares

 Partager

Messages recommandés

mayasun Member

mayasun

Posté(e)
Posté(e) (modifié)

bonjour,

mon pc est infecte par win32\beagle.QC

mon anti virus ne veut pas le supprimer ( nod32)

j ai scanner avec a squared free mais le ver est toujours la

j ai tel hijackthis voila ce que j ai :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:43:47, on 25/10/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\sistray.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wpabaln.exe

C:\WINDOWS\explorer.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\RunOnce: [Execute] C:\WINDOWS\System32\Tools\DelFolders.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

--

End of file - 2571 bytes

que faire,

 

merci pour votre aide ,

martine

Modifié par mayasun

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour Martine !

 

*** Je te souhaite la bienvenue sur ce forum dédié à la sécurité ! ***

--> Bagle est un virus fort avancé qui utilise des techniques de rootkit et qui patche souvent un fichier pour se relancer...

--> Nous pouvons probablement en venir à bout, mais il faudra suivre scrupuleusement la procédure indiquée !

 

 

 

1) Clique avec le bouton droit sur Combofix de sUBs cf.JPG

 

  • Choisis "Enregistrer la cible sous..." et insère "re" entre Combo et Fix (tu lui donnes donc le nom de ComboreFix)
  • Enregistre-le impérativement sur ton bureau.
  • Prends connaissance du tutoriel suivant : http://www.bleepingcomputer.com/combofix/f...iliser-combofix
  • Déconnecte-toi du net et désactive ton antivirus pendant la procédure.
  • Ferme toutes les fenêtres.
  • Double-clique sur comborefix.exe
  • Clique sur "Oui" pour accepter la limitation de garantie !
    --> Si ton pare-feu te demande d'autoriser nircmd.cfexe, accepte.
    --> Un message apparait pour te proposer d'installer la console, accepte (il est probable que cela échoue ; recommence tout en refusant cette étape si c'est le cas !)
  • Lance le scan (ne clique pas sur la fenêtre qui s'ouvre).
  • ComboFix va sans doute détecter une activité de rootkit et devra redémarrer, laisse-le faire... :P
  • A la fin du scan (cela peut prendre du temps), un rapport sera créé.
  • Poste ce rapport dans ton / tes prochain(s) message(s) (C:\Combofix.txt)

Avertissement important : Cet outil n'est pas un antimalware's généraliste ! Il ne peut être utilisé que par des personnes qualifiées...

 

Attention : Ne redémarre SURTOUT pas ta machine entre ces deux étapes !!!!

 

2) Télécharge Malwarebytes' Anti-Malware (MBAM)

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Installe le programme avec les options par défaut et assure-toi que les deux cases sont bien cochées comme indiqué sur le dessin : si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
    mbam.JPG


  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Sélectionne tous tes disques et clique sur Lancer l'examen.
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

 

==> Ce dernier scan va me permettre de vérifier que tout est en ordre, je recommande d'utiliser cet outil après ceux qui sont dédiés à une infection en particulier... sauf cas exceptionnel !

 

 

Merci de poster les 2 rapports demandés !

Passe une excellente après-midi...

 

102666.cs.jpg

mayasun Member

mayasun

Posté(e)
  • Auteur
Posté(e)

bonjour wawaseb,

merci pour ton aide precieuse ,

j ai suivi la procedure que tu m as indiquee voila les rapports:

 

ComboFix 08-10-24.02 - Martine 2008-10-26 11:19:30.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.721 [GMT 1:00]

Lancé depuis: C:\Documents and Settings\Martine.SALON-2BF2F785D\Bureau\ComboreFix.exe

* Resident AV is active

 

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\martine\Application Data\m

C:\Documents and Settings\martine\Application Data\m\list.oct

C:\Documents and Settings\martine\Application Data\m\shared\(Serial).panda.antivirus+firewall.2007.(6.00.00).15.zip

C:\Documents and Settings\martine\Application Data\m\shared\1-ACT_AntiVirus_2006_1.0_[Key+Serial].zip

C:\Documents and Settings\martine\Application Data\m\shared\123 Audio Video Merger 1.00.zip

C:\Documents and Settings\martine\Application Data\m\shared\2_Computer.Associates-bs7799.zip

C:\Documents and Settings\martine\Application Data\m\shared\70-226_Free_Test_Exam_Questions_10.0_(KeyGen).zip

C:\Documents and Settings\martine\Application Data\m\shared\7Office_Customer_Management_3.3.1.zip

C:\Documents and Settings\martine\Application Data\m\shared\9L0-607_Practice_Exam_Testing_Engine_Software_1.0_Crack.zip

C:\Documents and Settings\martine\Application Data\m\shared\A00-201_Practice_Exam_Testing_Engine_Software_1.0_Key.zip

C:\Documents and Settings\martine\Application Data\m\shared\Advanced_Warp_Screensaver_2.zip

C:\Documents and Settings\martine\Application Data\m\shared\AMF CD and DVD Jewel Case and Label Maker 4.1.zip

C:\Documents and Settings\martine\Application Data\m\shared\AntiFreeze 1.01.zip

C:\Documents and Settings\martine\Application Data\m\shared\Appointment Manager 1.2.3.zip

C:\Documents and Settings\martine\Application Data\m\shared\Art Chinese 1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\ArtixMedia_Menu_Studio_3.5.zip

C:\Documents and Settings\martine\Application Data\m\shared\Australian Landscapes 09 Screensaver 1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\AutoDWG DWG2Image Converter 3.1.zip

C:\Documents and Settings\martine\Application Data\m\shared\Back4WinXP_5.1.zip

C:\Documents and Settings\martine\Application Data\m\shared\Basic_Crystal_Package_-_Icon_Collections_New.zip

C:\Documents and Settings\martine\Application Data\m\shared\Best Folder Encryptor 15.60.zip

C:\Documents and Settings\martine\Application Data\m\shared\Better_Screenshots_1.2_[Key+Serial].zip

C:\Documents and Settings\martine\Application Data\m\shared\BillingTracker_Pro_Invoice_Software_3.6.1.zip

C:\Documents and Settings\martine\Application Data\m\shared\BlackMail 1.0.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\BugHunter 2.2e.zip

C:\Documents and Settings\martine\Application Data\m\shared\CalendarGo_Bundle_Professional_6.0_Key.zip

C:\Documents and Settings\martine\Application Data\m\shared\Case_Agent_Companion_1.0_[serial].zip

C:\Documents and Settings\martine\Application Data\m\shared\Checkbook for Excel 5.0d.zip

C:\Documents and Settings\martine\Application Data\m\shared\ClickOnceMore_1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\Comic_Book_Millennium_5.10a.zip

C:\Documents and Settings\martine\Application Data\m\shared\Crawling Ant 02.zip

C:\Documents and Settings\martine\Application Data\m\shared\CSVtoHTML Converter 1.01.zip

C:\Documents and Settings\martine\Application Data\m\shared\CTMailer_2.2.zip

C:\Documents and Settings\martine\Application Data\m\shared\CVS Manager 1.zip

C:\Documents and Settings\martine\Application Data\m\shared\Deskman SE 7.0.4.zip

C:\Documents and Settings\martine\Application Data\m\shared\Die_Hard_Nakatomi_Plaza_1.04.1_patch.zip

C:\Documents and Settings\martine\Application Data\m\shared\Direct Socket Control 0.60.zip

C:\Documents and Settings\martine\Application Data\m\shared\DocuMerger 1.5.zip

C:\Documents and Settings\martine\Application Data\m\shared\DomainPass_Pro_Personal_Edition_1.1.22.zip

C:\Documents and Settings\martine\Application Data\m\shared\Drive_Opener_1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\Easy CD & DVD Cover Creator 4.13.zip

C:\Documents and Settings\martine\Application Data\m\shared\Elder Scrolls IV

C:\Documents and Settings\martine\Application Data\m\shared\Epcot_Screensaver_1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\FIBS_Firebird-Interbase_Backup_Scheduler_2.0.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\FilmLoop 2.0.1.1.zip

C:\Documents and Settings\martine\Application Data\m\shared\FinKit_2.6.3.zip

C:\Documents and Settings\martine\Application Data\m\shared\Google Bulk Page Rank Checker 1.05 Build K20.zip

C:\Documents and Settings\martine\Application Data\m\shared\Gradients_Collection_Volume_1_1.0.2_(Serial).zip

C:\Documents and Settings\martine\Application Data\m\shared\Handy Backup Online 5.7.0.8.zip

C:\Documents and Settings\martine\Application Data\m\shared\Hot_Game_Girls_Screensaver_1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\Hot_Keyboard_Pro_3.58.zip

C:\Documents and Settings\martine\Application Data\m\shared\HTML & Graphic Optimizer 2.60.zip

C:\Documents and Settings\martine\Application Data\m\shared\Hutmil_6.3.zip

C:\Documents and Settings\martine\Application Data\m\shared\I-Cafe_1.0_Cracked.zip

C:\Documents and Settings\martine\Application Data\m\shared\IHRA_Drag_Racing_1.02_patch.zip

C:\Documents and Settings\martine\Application Data\m\shared\Internet Explorer Proxy Monitor 1.zip

C:\Documents and Settings\martine\Application Data\m\shared\Internet_Server_Monitor_2007_7.0.0.17.zip

C:\Documents and Settings\martine\Application Data\m\shared\Japanese Jewels Screensaver 3.zip

C:\Documents and Settings\martine\Application Data\m\shared\Job Timer 3.6.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\Kanji_Safari_1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\Kaspersky.Anti.Virus.Personal.5.0.388.Crack.Keygen.Serial.Patch.zip

C:\Documents and Settings\martine\Application Data\m\shared\Launcher 1.5.7.zip

C:\Documents and Settings\martine\Application Data\m\shared\Lily Screensaver1 1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\Locate on Google Maps 1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\Lucky_Number_1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\Mashed_demo.zip

C:\Documents and Settings\martine\Application Data\m\shared\McAfee.SpamKiller.v6.1.7.Retail-ZWT.zip

C:\Documents and Settings\martine\Application Data\m\shared\Mesh_To_Solid_for_AutoCAD_1.zip

C:\Documents and Settings\martine\Application Data\m\shared\Meshbox_1.0.1.zip

C:\Documents and Settings\martine\Application Data\m\shared\Mosaizer_4.4_[serial].zip

C:\Documents and Settings\martine\Application Data\m\shared\Mp3ListShellEx 2.1.1.zip

C:\Documents and Settings\martine\Application Data\m\shared\MPlayer_for_Windows_(Full_Package)_1.2_2007-06-27.zip

C:\Documents and Settings\martine\Application Data\m\shared\MSDict Concise Oxford English Dictionary (Symbian Series 80) 2.50.zip

C:\Documents and Settings\martine\Application Data\m\shared\My_Simple_Friend_1.0_build_13.zip

C:\Documents and Settings\martine\Application Data\m\shared\NorthwestUSDoppler!_1.1.zip

C:\Documents and Settings\martine\Application Data\m\shared\Nostalgic Screensaver 1.11b.zip

C:\Documents and Settings\martine\Application Data\m\shared\OutlookExpress_Password_1.5.295_With_Crack.zip

C:\Documents and Settings\martine\Application Data\m\shared\Parabuild_3.1.11_Key+Serial.zip

C:\Documents and Settings\martine\Application Data\m\shared\PDF Decrypter 2.50 (Patch).zip

C:\Documents and Settings\martine\Application Data\m\shared\PDF_Plain_Text_Extractor_4.2_[Cracked].zip

C:\Documents and Settings\martine\Application Data\m\shared\PictMatch 2.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\Pike's Google Search Widget 3.3.zip

C:\Documents and Settings\martine\Application Data\m\shared\PK's_Color_Picker_1.6.9.zip

C:\Documents and Settings\martine\Application Data\m\shared\Plato_DVD_Copy_6.72.zip

C:\Documents and Settings\martine\Application Data\m\shared\Pork_1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\PrivApp 1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\Promodag_StoreLog_2.2.zip

C:\Documents and Settings\martine\Application Data\m\shared\PST Utilities.zip

C:\Documents and Settings\martine\Application Data\m\shared\Pushpin_Tool_2.4.zip

C:\Documents and Settings\martine\Application Data\m\shared\R Decode 1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\Radium Neue Extras.zip

C:\Documents and Settings\martine\Application Data\m\shared\Remote Agent for Network File Monitor 2.20.1.zip

C:\Documents and Settings\martine\Application Data\m\shared\River_Past_Video_Cleaner_Pro_7.5_Key+Serial.zip

C:\Documents and Settings\martine\Application Data\m\shared\RM_to_MP3_Converter_3.28_[KeyGen].zip

C:\Documents and Settings\martine\Application Data\m\shared\Rune Death Tower map.zip

C:\Documents and Settings\martine\Application Data\m\shared\Schedule_Master_4.01.zip

C:\Documents and Settings\martine\Application Data\m\shared\Scripture_on_Art_1.4.zip

C:\Documents and Settings\martine\Application Data\m\shared\SHUTdown at 1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\SigChanger 2.3.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\SketchMatrix 2.1.0 [serial].zip

C:\Documents and Settings\martine\Application Data\m\shared\SocketTools Secure Visual Edition 4.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\SoftCopy_1.6_Patch.zip

C:\Documents and Settings\martine\Application Data\m\shared\SplitZilla 3.1.zip

C:\Documents and Settings\martine\Application Data\m\shared\Sport Concept Cars 1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\SQL_Developer_1.0_Crack.zip

C:\Documents and Settings\martine\Application Data\m\shared\Subliminal Messages Organizer 1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\SuperWin 1.0 Cracked.zip

C:\Documents and Settings\martine\Application Data\m\shared\Synchronize_It_3.2.zip

C:\Documents and Settings\martine\Application Data\m\shared\System_Sentry_2.2.0.4.zip

C:\Documents and Settings\martine\Application Data\m\shared\Text_Effects_1.00.558.zip

C:\Documents and Settings\martine\Application Data\m\shared\The_Sims_-_Apocalypse_skin.zip

C:\Documents and Settings\martine\Application Data\m\shared\ThisWeek 3.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\Tiffany_Thiessen_1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\Timetabler_Plus_1.2.zip

C:\Documents and Settings\martine\Application Data\m\shared\Tower_Of_Souls_1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\TrackIT_1.8.zip

C:\Documents and Settings\martine\Application Data\m\shared\UMIT 0.9.3 RC2.zip

C:\Documents and Settings\martine\Application Data\m\shared\Unreal_Tournament_2003_-_Hello_Anubis_deathmatch_map.zip

C:\Documents and Settings\martine\Application Data\m\shared\UPS Tracking Tool 1.27.zip

C:\Documents and Settings\martine\Application Data\m\shared\VAT_Extractor_1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\VCDEasy 3.1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\ViewHEAD_1.0.5.zip

C:\Documents and Settings\martine\Application Data\m\shared\Volume Tiny 1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\WebSMS 3.3 (Crack).zip

C:\Documents and Settings\martine\Application Data\m\shared\Wincopy_Screen_Capture_2006_2.1.2277_[Cracked].zip

C:\Documents and Settings\martine\Application Data\m\shared\Wlock_2.4.zip

C:\Documents and Settings\martine\Application Data\m\shared\WordPerfect 12 Backup Customized Settings 1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\World Clock 3.0.3.zip

C:\Documents and Settings\martine\Application Data\m\shared\X-Assist_(OS_X)_0.7.zip

C:\Documents and Settings\martine\Application Data\m\shared\Yahoo!_Clubs_Picture_Downloader_1.0.zip

C:\Documents and Settings\martine\Application Data\m\shared\ZipComp 0.4.zip

C:\Documents and Settings\martine\Application Data\m\srvlist.oct

C:\WINDOWS\system32\drivers\downld

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-26 au 2008-10-26 ))))))))))))))))))))))))))))))))))))

.

 

2008-10-25 18:09 . 2008-10-25 18:09 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys

2008-10-25 18:07 . 2008-10-25 18:09 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys

2008-10-25 18:07 . 2008-10-25 18:09 298,104 --a------ C:\WINDOWS\system32\imon.dll

2008-10-25 18:06 . 2008-08-14 14:44 2,182,400 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2008-10-25 18:06 . 2008-08-14 14:44 2,138,112 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe

2008-10-25 18:06 . 2008-08-14 14:44 2,059,776 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2008-10-25 18:06 . 2008-08-14 14:44 2,017,792 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe

2008-10-25 18:06 . 2008-06-14 18:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys

2008-10-25 18:06 . 2008-06-14 18:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

2008-10-25 16:10 . 2001-08-17 22:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys

2008-10-25 16:09 . 2004-08-04 01:39 58,496 --a------ C:\WINDOWS\system32\drivers\redbook.sys

2008-10-25 16:08 . 2004-08-04 01:54 77,312 --a------ C:\WINDOWS\system32\usbui.dll

2008-10-25 16:08 . 2004-08-03 22:07 46,464 --a------ C:\WINDOWS\system32\drivers\GAGP30KX.SYS

2008-10-25 16:08 . 2004-08-03 22:07 46,464 --a--c--- C:\WINDOWS\system32\dllcache\gagp30kx.sys

2008-10-25 16:06 . 2008-10-25 16:06 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage réseau

2008-10-25 16:06 . 2008-10-25 16:06 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage d'impression

2008-10-25 16:06 . 2008-10-25 14:13 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Modèles

2008-10-25 16:06 . 2008-10-25 16:06 <REP> d-------- C:\Documents and Settings\Default User.WINDOWS\Mes documents

2008-10-25 16:06 . 2008-10-25 16:06 <REP> dr------- C:\Documents and Settings\Default User.WINDOWS\Menu Démarrer

2008-10-25 16:06 . 2008-10-25 16:06 <REP> d-------- C:\Documents and Settings\Default User.WINDOWS\Favoris

2008-10-25 16:06 . 2008-10-25 16:06 <REP> d-------- C:\Documents and Settings\Default User.WINDOWS\Bureau

2008-10-25 16:06 . 2008-10-25 16:06 <REP> d--h----- C:\Documents and Settings\All Users.WINDOWS\Modèles

2008-10-25 16:06 . 2008-10-25 14:18 <REP> dr------- C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer

2008-10-25 16:06 . 2008-10-25 16:06 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Favoris

2008-10-25 16:06 . 2008-10-25 14:14 <REP> dr------- C:\Documents and Settings\All Users.WINDOWS\Documents

2008-10-25 16:06 . 2008-10-25 16:06 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Bureau

2008-10-25 16:05 . 2008-10-26 11:17 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS

2008-10-25 16:05 . 2008-10-25 14:17 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS

2008-10-25 16:04 . 2008-10-25 14:20 623 --a------ C:\WINDOWS\system32\$winnt$.inf

2008-10-25 14:41 . 2005-02-25 04:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

2008-10-25 14:34 . 2007-05-16 05:00 42,368 -ra------ C:\WINDOWS\system32\drivers\SiSGbeXP.sys

2008-10-25 14:31 . 2001-09-11 13:20 1,285,632 --a------ C:\WINDOWS\system32\SMMedia.dll

2008-10-25 14:31 . 2001-10-04 13:50 991,232 --a------ C:\WINDOWS\system32\virtear.dll

2008-10-25 14:31 . 2001-09-19 11:47 765,952 --a------ C:\WINDOWS\system\crlds3d.dll

2008-10-25 14:31 . 2003-08-19 17:36 65,536 --a------ C:\WINDOWS\system32\Audio3d.dll

2008-10-25 14:31 . 2004-12-08 15:16 49,152 --a------ C:\WINDOWS\system32\DSndUp.exe

2008-10-25 14:31 . 2002-04-17 13:05 45,056 --a------ C:\WINDOWS\system32\CleanUp.exe

2008-10-25 14:31 . 2001-09-11 13:20 30,208 --a------ C:\WINDOWS\system32\wdmioctl.dll

2008-10-25 14:29 . 2008-10-25 14:29 <REP> d-------- C:\Program Files\SiS VGA Utilities V3.80

2008-10-25 14:28 . 2008-10-25 14:29 78,611 --a------ C:\WINDOWS\system32\VGAunistlog.ini

2008-10-25 14:26 . 2008-10-25 14:26 <REP> d-------- C:\Program Files\sisagp

2008-10-25 14:24 . 2006-12-25 21:31 4,864 -ra------ C:\WINDOWS\system32\drivers\PortIo.sys

2008-10-25 14:22 . 2008-10-25 16:06 <REP> d--h----- C:\Documents and Settings\Martine.SALON-2BF2F785D\Voisinage réseau

2008-10-25 14:22 . 2008-10-25 16:06 <REP> d--h----- C:\Documents and Settings\Martine.SALON-2BF2F785D\Voisinage d'impression

2008-10-25 14:22 . 2008-10-25 14:13 <REP> d--h----- C:\Documents and Settings\Martine.SALON-2BF2F785D\Modèles

2008-10-25 14:22 . 2008-10-25 14:22 <REP> dr------- C:\Documents and Settings\Martine.SALON-2BF2F785D\Mes documents

2008-10-25 14:22 . 2008-10-25 16:06 <REP> dr------- C:\Documents and Settings\Martine.SALON-2BF2F785D\Menu Démarrer

2008-10-25 14:22 . 2008-10-26 11:00 <REP> dr------- C:\Documents and Settings\Martine.SALON-2BF2F785D\Favoris

2008-10-25 14:22 . 2008-10-25 19:14 <REP> d-------- C:\Documents and Settings\Martine.SALON-2BF2F785D\Bureau

2008-10-25 14:22 . 2008-10-25 14:22 <REP> d-------- C:\Documents and Settings\Martine.SALON-2BF2F785D

2008-10-25 14:21 . 2008-10-25 14:21 <REP> d--hs---- C:\Documents and Settings\NetworkService.AUTORITE NT.001

2008-10-25 14:21 . 2008-10-25 14:21 <REP> d--hs---- C:\Documents and Settings\LocalService.AUTORITE NT.001

2008-10-25 14:21 . 2008-10-25 14:21 8,192 --a------ C:\WINDOWS\REGLOCS.OLD

2008-10-25 14:19 . 2004-08-05 13:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll

2008-10-25 14:18 . 2004-08-05 13:00 1,677,824 --a--c--- C:\WINDOWS\system32\dllcache\chsbrkr.dll

2008-10-25 14:17 . 2008-10-25 14:17 <REP> d--hs---- C:\Documents and Settings\All Users.WINDOWS\DRM

2008-10-25 14:17 . 2008-10-25 14:17 316,640 --a------ C:\WINDOWS\WMSysPr9.prx

2008-10-25 14:17 . 2008-10-25 14:17 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb

2008-10-25 14:17 . 2008-10-25 14:17 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb

2008-10-25 14:16 . 2008-10-25 14:16 <REP> d-------- C:\Program Files\Services en ligne

2008-10-25 14:16 . 2004-08-05 13:00 4,399,505 --a--c--- C:\WINDOWS\system32\dllcache\nls302en.lex

2008-10-25 14:16 . 2008-10-25 14:16 749 -rah----- C:\WINDOWS\WindowsShell.Manifest

2008-10-25 14:16 . 2008-10-25 14:16 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest

2008-10-25 14:16 . 2008-10-25 14:16 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest

2008-10-25 14:16 . 2008-10-25 14:16 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest

2008-10-25 14:16 . 2008-10-25 14:16 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest

2008-10-25 14:16 . 2008-10-25 14:16 749 -rah----- C:\WINDOWS\system32\cdplayer.exe.manifest

2008-10-25 14:16 . 2008-10-25 14:16 488 -rah----- C:\WINDOWS\system32\WindowsLogon.manifest

2008-10-25 14:16 . 2008-10-25 14:16 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest

2008-10-25 14:14 . 2008-10-25 14:14 21,892 --a------ C:\WINDOWS\system32\emptyregdb.dat

2008-10-25 14:14 . 2004-08-05 13:00 5,632 --a------ C:\WINDOWS\system32\write.exe

2008-10-25 14:14 . 2004-08-05 13:00 5,632 --a--c--- C:\WINDOWS\system32\dllcache\write.exe

2008-10-25 14:14 . 2008-10-25 14:14 37 --a------ C:\WINDOWS\vbaddin.ini

2008-10-25 14:14 . 2008-10-25 14:14 36 --a------ C:\WINDOWS\vb.ini

2008-10-25 13:21 . 2008-10-25 13:21 <REP> d-------- C:\Program Files\MSPress

2008-10-25 13:21 . 2008-10-25 13:21 <REP> d-------- C:\Documents and Settings\martine.MAISON-8CD14DA8\WINDOWS

2008-10-25 12:53 . 2008-10-25 12:53 <REP> d-------- C:\Documents and Settings\martine.MAISON-8CD14DA8\Application Data\Lavasoft

2008-10-25 11:47 . 2008-10-25 11:47 <REP> d-------- C:\Program Files\Panda Security

2008-10-25 10:12 . 2008-10-25 10:12 <REP> d-------- C:\Program Files\Trend Micro

2008-10-25 08:48 . 2008-10-25 11:19 <REP> d-------- C:\Program Files\a-squared Free

2008-10-25 08:39 . 2008-10-25 08:39 <REP> d---s---- C:\Documents and Settings\martine.MAISON-8CD14DA8\UserData

2008-10-25 07:40 . 2008-10-25 09:23 <REP> d--h----- C:\Documents and Settings\martine.MAISON-8CD14DA8\Voisinage réseau

2008-10-25 07:40 . 2008-10-25 09:23 <REP> d--h----- C:\Documents and Settings\martine.MAISON-8CD14DA8\Voisinage d'impression

2008-10-25 07:40 . 2008-10-25 07:30 <REP> d--h----- C:\Documents and Settings\martine.MAISON-8CD14DA8\Modèles

2008-10-25 07:40 . 2008-10-25 09:56 <REP> dr------- C:\Documents and Settings\martine.MAISON-8CD14DA8\Mes documents

2008-10-25 07:40 . 2008-10-25 09:23 <REP> dr------- C:\Documents and Settings\martine.MAISON-8CD14DA8\Menu Démarrer

2008-10-25 07:40 . 2008-10-25 10:28 <REP> dr------- C:\Documents and Settings\martine.MAISON-8CD14DA8\Favoris

2008-10-25 07:40 . 2008-10-25 10:14 <REP> d-------- C:\Documents and Settings\martine.MAISON-8CD14DA8\Bureau

2008-10-25 07:40 . 2008-10-25 13:21 <REP> d-------- C:\Documents and Settings\martine.MAISON-8CD14DA8

2008-10-25 07:38 . 2008-10-25 07:38 <REP> d--hs---- C:\Documents and Settings\LocalService.AUTORITE NT.000

2008-10-25 07:37 . 2008-10-25 07:37 <REP> d--hs---- C:\Documents and Settings\NetworkService.AUTORITE NT.000

2008-10-24 22:41 . 2008-10-24 22:42 <REP> d-------- C:\Program Files\Windows Live Safety Center

2008-10-24 21:59 . 2008-10-25 18:31 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak

2008-10-24 21:13 . 2008-10-24 21:13 <REP> d--hs---- C:\Documents and Settings\NetworkService.AUTORITE NT

2008-10-24 21:13 . 2008-10-24 21:13 <REP> d--hs---- C:\Documents and Settings\LocalService.AUTORITE NT

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-25 17:11 --------- d-----w C:\Program Files\ESET

2008-10-24 21:12 --------- d-----w C:\Program Files\DivX

2008-09-15 15:39 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys

2008-08-29 15:32 --------- d-----w C:\Documents and Settings\martine\Application Data\dvdcss

2008-08-28 18:31 --------- d-----w C:\Program Files\MSECache

2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys

2008-08-20 05:37 663,552 ----a-w C:\WINDOWS\system32\wininet.dll

2008-08-14 13:44 2,182,400 ----a-w C:\WINDOWS\system32\ntoskrnl.exe

2008-08-14 13:44 2,059,776 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe

2004-07-22 08:51 3,432,656 ----a-w C:\Program Files\ManagedDX.CAB

2004-07-19 20:58 1,156,363 ----a-w C:\Program Files\BDANT.cab

2004-07-19 20:53 976,020 ----a-w C:\Program Files\BDAXP.cab

2004-07-09 12:17 13,265,040 ----a-w C:\Program Files\dxnt.cab

2004-07-09 07:13 703,080 ----a-w C:\Program Files\BDA.cab

2004-07-09 07:13 15,493,481 ----a-w C:\Program Files\DirectX.cab

2004-07-09 02:08 472,576 ----a-w C:\Program Files\dxsetup.exe

2004-07-09 02:08 2,242,560 ----a-w C:\Program Files\dsetup32.dll

2004-07-09 01:03 62,976 ----a-w C:\Program Files\DSETUP.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]

"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-10-25 949376]

"SiSPower"="SiSPower.dll" [2007-04-10 C:\WINDOWS\system32\SiSPower.dll]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

 

C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\

Reboot.exe [2006-12-28 409088]

Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe [2008-10-25 262144]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

 

 

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

.

------- Examen supplémentaire -------

.

R0 -: HKCU-Main,Start Page = hxxp://fr.yahoo.com/

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-26 11:23:11

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

PROCESSUS: C:\WINDOWS\system32\lsass.exe

-> C:\Program Files\Eset\pr_imon.dll

.

Heure de fin: 2008-10-26 11:23:46

ComboFix-quarantined-files.txt 2008-10-26 10:23:44

 

Avant-CF: 39,836,504,064 octets libres

Après-CF: 40,200,871,936 octets libres

 

306 --- E O F --- 2008-10-26 09:55:46

 

 

 

 

 

 

 

Malwarebytes' Anti-Malware 1.30

Version de la base de données: 1321

Windows 5.1.2600 Service Pack 2

 

26/10/2008 12:00:21

mbam-log-2008-10-26 (12-00-21).txt

 

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|)

Eléments examinés: 116260

Temps écoulé: 27 minute(s), 38 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

 

bonne apres midi

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour Martine !

:P

 

*** Tes rapports ne montrent plus de trace d'infection, mais je voudrais m'assurer que tout est en ordre... ***

--> Comme je te l'ai dit, Bagle injecte un fichier légitime et pourrait revenir...

--> Je te demande donc de suivre scrupuleusement ces deux dernières étapes...

 

 

1) Rends-toi sur ce site-ci

  • Clique sur "Parcourir" (comme indiqué sur le dessin) jotti.GIF
  • Recherche le fichier suivant : C:\Program Files\Eset\nod32kui.exe
  • Clique sur "Submit"
  • Copie-colle le rapport dans ta prochaine réponse...
  • Répète l'analyse en ligne avec le fichier C:\Program Files\Eset\nod32krn.exe, puis avec C:\Program Files\a-squared Free\a2service.exe

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

 

2) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

 

Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner".kas.JPG

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

Dans ta prochaine réponse, j'ai donc besoin de 4 rapports :

  1. Les 3 fichiers analysés par Jotti / VT
  2. Le rapport de Kaspersky en ligne

 

@ très vite !

canard.jpg

mayasun Member

mayasun

Posté(e)
  • Auteur
Posté(e)

aie aie,

l analyse kaspersky n est pas encore finie mais mon pc est encore infecte,

j ai reinstalle mon imprimante hp photosmart , juste avant est possible qu elle soit infectee aussi ? et que ca vient de la

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir Martine ! 160708.cs.jpg

 

*** Malwarebytes' Anti-Malware (MBAM) n'avait plus rien trouvé et ComboFix était venu à bout de Bagle ! ***

--> Les scans de tes fichiers sur Virustotal n'ont rien donné de méchant. :P

 

 

kaspersky a detecte 258 fichiers infectes par un virus

--> Je pense donc que Kaspersky a détecté :

  1. Des traces inactives dans la restauration du système
  2. Les fichiers présents dans les quarantaines des outils installés sur ton PC
  3. D'éventuels "tracking cookies", absolument sans danger !

 

=> J'aimerais quand même vérifier que tout est en ordre...

=> Si vraiment tu ne parviens pas à poster le rapport, tu peux enregistrer la page (Fichier --> Enregistrer sous...) et me l'envoyer à une adresse que je te donnerai en privé...

 

 

Sauf si aux prises avec un infecteur de PE's, nous devrions bientôt être tirés d'affaire !

 

Je trouve que tu as déjà fait du super boulot ; il est difficile de se débarrasser de Bagle !

bravo.jpg

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...