bagle, pffffffffffffff

[martini83]

Bonjour! ça fait quelques années que je parcours le forum et que j'ai la newsletter, mais c'est maintenant que j'ai besoin d'un avis éclairé.. Grace à un petit malin j'ai hérité d'un Bagle bien virulent, et j'ai appliqué Combofix en suivant bien le pas-à-pas; je vous livre le rapport qu'il m'a laissé pour que vous puissiez m'indiquer la marche à suivre!

 

 

ComboFix 08-12-18.03 - François 2008-12-20 10:07:48.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1023.730 [GMT 1:00]

Lancé depuis: c:\documents and settings\François\Bureau\antibagle.exe

Commutateurs utilisés :: c:\documents and settings\François\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\François\Application Data\drivers\downld

c:\documents and settings\François\Application Data\drivers\downld\105453.exe

c:\documents and settings\François\Application Data\drivers\downld\107078.exe

c:\documents and settings\François\Application Data\drivers\downld\107468.exe

c:\documents and settings\François\Application Data\drivers\downld\118093.exe

c:\documents and settings\François\Application Data\drivers\downld\119109.exe

c:\documents and settings\François\Application Data\drivers\downld\119656.exe

c:\documents and settings\François\Application Data\drivers\downld\145640.exe

c:\documents and settings\François\Application Data\drivers\downld\184546.exe

c:\documents and settings\François\Application Data\drivers\downld\186437.exe

c:\documents and settings\François\Application Data\drivers\downld\186765.exe

c:\documents and settings\François\Application Data\drivers\downld\216875.exe

c:\documents and settings\François\Application Data\drivers\downld\217718.exe

c:\documents and settings\François\Application Data\drivers\downld\217765.exe

c:\documents and settings\François\Application Data\drivers\downld\238812.exe

c:\documents and settings\François\Application Data\drivers\downld\241062.exe

c:\documents and settings\François\Application Data\drivers\downld\241984.exe

c:\documents and settings\François\Application Data\drivers\downld\243593.exe

c:\documents and settings\François\Application Data\drivers\downld\244984.exe

c:\documents and settings\François\Application Data\drivers\downld\246000.exe

c:\documents and settings\François\Application Data\drivers\downld\271125.exe

c:\documents and settings\François\Application Data\drivers\downld\272171.exe

c:\documents and settings\François\Application Data\drivers\downld\272703.exe

c:\documents and settings\François\Application Data\drivers\downld\298953.exe

c:\documents and settings\François\Application Data\drivers\downld\311203.exe

c:\documents and settings\François\Application Data\drivers\downld\313703.exe

c:\documents and settings\François\Application Data\drivers\downld\314609.exe

c:\documents and settings\François\Application Data\drivers\downld\355656.exe

c:\documents and settings\François\Application Data\drivers\downld\356796.exe

c:\documents and settings\François\Application Data\drivers\downld\357078.exe

c:\documents and settings\François\Application Data\drivers\downld\87250.exe

c:\documents and settings\François\Application Data\drivers\downld\91281.exe

c:\documents and settings\François\Application Data\drivers\downld\91296.exe

c:\documents and settings\François\Application Data\drivers\downld\97281.exe

c:\documents and settings\François\Application Data\drivers\srosa.sys

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_SROSA

-------\Legacy_SROSA

-------\Legacy_SK9OU0S

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-20 au 2008-12-20 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-20 00:23 . 2008-12-20 00:23 <REP> d-------- c:\program files\Spybot - Search & Destroy

2008-12-20 00:23 . 2008-12-20 00:23 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2008-12-19 20:57 . 2008-12-20 10:09 <REP> d--h----- c:\documents and settings\François\Application Data\drivers

2008-12-12 18:58 . 2008-12-12 19:10 <REP> d-------- c:\documents and settings\François\Application Data\U3

2008-12-10 07:37 . 2008-12-10 07:37 <REP> d-------- c:\documents and settings\François\Application Data\Windows Search

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-19 23:13 --------- d-----w c:\program files\Mozilla Thunderbird

2008-12-19 21:19 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2008-12-18 20:36 --------- d-----w c:\program files\SpywareBlaster

2008-12-18 06:43 --------- d-----w c:\documents and settings\François\Application Data\dvdcss

2008-12-12 18:07 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-12-09 21:45 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2008-12-08 18:18 --------- d-----w c:\documents and settings\François\Application Data\LimeWire

2008-12-06 23:38 --------- d-----w c:\program files\eMule

2008-12-03 18:52 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-03 18:52 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2008-11-16 09:44 --------- d-----w c:\program files\Diskeeper Corporation

2008-11-13 18:10 --------- d-----w c:\documents and settings\François\Application Data\vlc

2008-11-13 18:04 --------- d-----w c:\program files\VideoLAN

2008-11-12 18:45 --------- d-----w c:\program files\Windows Desktop Search

2008-11-12 18:45 --------- d-----w c:\documents and settings\François\Application Data\Windows Desktop Search

2008-11-11 18:33 --------- d-----w c:\program files\VirtualDubMOD

2008-11-11 18:33 --------- d-----w c:\program files\ma-config.com

2008-11-11 18:33 --------- d-----w c:\documents and settings\All Users\Application Data\ma-config.com

2008-11-11 12:22 --------- d-----w c:\documents and settings\François\Application Data\Malwarebytes

2008-11-11 12:22 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2008-11-10 23:10 --------- d-----w c:\documents and settings\François\Application Data\Ahead

2008-11-01 20:17 --------- d-----w c:\documents and settings\François\Application Data\Media Player Classic

2008-11-01 20:04 --------- d-----w c:\program files\K-Lite Codec Pack

2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-10-21 16:59 --------- d-----w c:\program files\Microsoft Silverlight

2008-05-07 09:28 32,768 -csha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008050720080508\index.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-12-20 2156368]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DiskeeperSystray"="c:\program files\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-05-18 196696]

"nwiz"="nwiz.exe" [2005-02-24 c:\windows\system32\nwiz.exe]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Moniteur WiFi OLITEC.exe.lnk - c:\program files\OLITEC\Moniteur WiFi OLITEC\Moniteur WiFi OLITEC.exe [2008-04-28 913408]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=MsgPlusLoader.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.divxa32"= divxa32.acm

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe"

"SoundMan"=SOUNDMAN.EXE

"SiSPower"=Rundll32.exe SiSPower.dll,ModeAgent

"InCD"=c:\program files\Ahead\InCD\InCD.exe

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Program Files\\FTP Commander\\Ftpcomm.exe"=

"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Documents and Settings\\François\\Mes documents\\tous les exe\\LaMule\\eMule0.49a\\emule.exe"=

"c:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"4444:TCP"= 4444:TCP:eMule

"4454:UDP"= 4454:UDP:eMule

 

R3 MRVW225;802.11g/b Wireless LAN Dirver for Windows XP;c:\windows\system32\DRIVERS\MRVW225.sys [2008-04-28 299904]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {EB93960E-C415-471A-9C9E-B8933DAB3630} = 212.27.53.252,212.27.54.252

FF - ProfilePath - c:\documents and settings\François\Application Data\Mozilla\Firefox\Profiles\nrz9wtsi.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - www.asacduvar.org

FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search/?fr=ffds1&p=

FF - plugin: c:\documents and settings\François\Application Data\Mozilla\Firefox\Profiles\nrz9wtsi.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll

FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava11.dll

FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava12.dll

FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava13.dll

FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava14.dll

FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava32.dll

FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJPI150_03.dll

FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPOJI610.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.30716.0.dll

FF - plugin: c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-20 10:10:53

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(772)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\dllhost.exe

c:\program files\Diskeeper Corporation\Diskeeper\DkService.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\searchindexer.exe

.

**************************************************************************

.

Heure de fin: 2008-12-20 10:16:03 - La machine a redémarré [François]

ComboFix-quarantined-files.txt 2008-12-20 09:16:01

 

Avant-CF: 88,261,156,864 octets libres

Après-CF: 88,115,544,064 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

193 --- E O F --- 2008-12-18 06:58:00

 

 

Merci d'avance de votre avis, j'espère être sorti de cette galère!

 

ps: une fois ce satané bagle entré, mes antivirus et autres (antivir, spybot) se sont trouvés inactivés et indémarrables, seul malwarebytes fonctionnait encore, les autres m'affichaient "win 32....non valide" , je vais donc réinstaller proprement Antivir et spybot pour récupérer leur fonctionnement, si le message d'erreur persiste à me dire qu'ils sont indémarrables, y-a-t-il une manip?

 

Merci d'avance et excellentes fêtes de fin d'année à vous tous...

 

 

François

[Zonk]

Allo

Ne réinstalle pas Antivir et Spybot ...attends les avis avant de bouger....

(déjà que ComboFix ne devrait pas être lancé sans la supervision d'un membre de l'Équipe Sécurité)

@+

[Mark]

Bonsoir martini83, Zonk ;

 

Trois petites choses avant de débuter :

 

1) ComboFix est un outil puissant et pointu ; tu dois être supervisé pour l'utiliser convenablement, mais surtout pour éviter les fausses manip. Bagle est une infection très agressive et impose beaucoup de prudence lors de sa désinfection.

 

2) Tu as AntiVir ? Tiens, c'est étrange, puisqu'il connaît bien Bagle et t'aurait protégé si ses boucliers avaient été actifs.

Un antivirus doit être activé en tout temps, sinon il est parfaitement inutile.

 

Et finalement : 3)

Grace à un petit malin j'ai hérité d'un Bagle bien virulent,

J'aimerais bien en savoir plus, si tu me permets la question. Bagle se chope via un crack/keygen ou bien via un support amovible infecté. eMule et LimeWire ? Faut pas trop chercher...

 

=============

 

Tu dois maintenant désinstaller AntiVir, si ce n'est déjà fait, puis le réinstaller. Branche tes lecteurs amovibles et fais une analyse complète tout de suite après l'installation et poste le rapport ici, pour vérification.

 

SpyBot est pratiquement inutile de nos jours ; à toi de décider si tu veux le réinstaller

 

**Tout programme qui donne l'erreur "...n'est pas une application Win32 valide", dans ton cas, a été injecté par le ver, ne peut être réparé et doit être désinstallé.

 

J'attends donc le rapport d'AntiVir.

 

@+