grosses infections

[mo;mo]

Ok, merci csamy.

[mo;mo]

Voici le log de Combofix : © CJoint.com, 2008

[pear]

Bonsoir,

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

c:\windows\system32\bridf08a.dat

c:\windows\system32\bd7045n.dat

c:\windows\system32\drivers\utk4otgz.sys

 

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

[mo;mo]

Voici le resultat pour le fichier "bridf08a.dat" :

 

 

Antivirus results

AhnLab-V3 - 2010.08.16.02 - 2010.08.16 - -

AntiVir - 8.2.4.34 - 2010.08.16 - -

Antiy-AVL - 2.0.3.7 - 2010.08.16 - -

Authentium - 5.2.0.5 - 2010.08.16 - -

Avast - 4.8.1351.0 - 2010.08.15 - -

Avast5 - 5.0.332.0 - 2010.08.15 - -

AVG - 9.0.0.851 - 2010.08.16 - -

BitDefender - 7.2 - 2010.08.16 - -

CAT-QuickHeal - 11.00 - 2010.08.16 - -

ClamAV - 0.96.0.3-git - 2010.08.16 - -

Comodo - 5758 - 2010.08.16 - -

DrWeb - 5.0.2.03300 - 2010.08.16 - -

Emsisoft - 5.0.0.37 - 2010.08.16 - -

eSafe - 7.0.17.0 - 2010.08.15 - -

eTrust-Vet - 36.1.7793 - 2010.08.16 - -

F-Prot - 4.6.1.107 - 2010.08.16 - -

F-Secure - 9.0.15370.0 - 2010.08.16 - -

Fortinet - 4.1.143.0 - 2010.08.16 - -

GData - 21 - 2010.08.16 - -

Ikarus - T3.1.1.88.0 - 2010.08.16 - -

Jiangmin - 13.0.900 - 2010.08.16 - -

Kaspersky - 7.0.0.125 - 2010.08.16 - -

McAfee - 5.400.0.1158 - 2010.08.16 - -

McAfee-GW-Edition - 2010.1 - 2010.08.16 - -

Microsoft - 1.6004 - 2010.08.16 - -

NOD32 - 5369 - 2010.08.16 - -

Norman - 6.05.11 - 2010.08.15 - -

nProtect - 2010-08-16.01 - 2010.08.16 - -

Panda - 10.0.2.7 - 2010.08.15 - -

PCTools - 7.0.3.5 - 2010.08.16 - -

Prevx - 3.0 - 2010.08.16 - -

Rising - 22.61.00.04 - 2010.08.16 - -

Sophos - 4.56.0 - 2010.08.16 - -

Sunbelt - 6740 - 2010.08.16 - -

SUPERAntiSpyware - 4.40.0.1006 - 2010.08.16 - -

Symantec - 20101.1.1.7 - 2010.08.16 - -

TheHacker - 6.5.2.1.349 - 2010.08.16 - -

TrendMicro - 9.120.0.1004 - 2010.08.16 - -

TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.16 - -

VBA32 - 3.12.14.0 - 2010.08.13 - -

ViRobot - 2010.8.16.3990 - 2010.08.16 - -

VirusBuster - 5.0.27.0 - 2010.08.15 - -

File info:

MD5: 3fc8cd18da06d8d2f990ef4ecc42ab99

SHA1: 731d8a2bac32f6fe32358884c0e6625ec9b1a2e1

SHA256: 9dac3401aac6342fe29128712904fc4ffd9e5df32f05f80becb14a90d37a2611

File size: 50 bytes

Scan date: 2010-08-16 10:58:27 (UTC)

 

 

 

Ensuite pour le fichier "bd7045n.dat" :

 

 

 

Antivirus results

AhnLab-V3 - 2010.08.16.02 - 2010.08.16 - -

AntiVir - 8.2.4.34 - 2010.08.16 - -

Antiy-AVL - 2.0.3.7 - 2010.08.16 - -

Authentium - 5.2.0.5 - 2010.08.16 - -

Avast - 4.8.1351.0 - 2010.08.15 - -

Avast5 - 5.0.332.0 - 2010.08.15 - -

AVG - 9.0.0.851 - 2010.08.16 - -

BitDefender - 7.2 - 2010.08.16 - -

CAT-QuickHeal - 11.00 - 2010.08.16 - -

ClamAV - 0.96.0.3-git - 2010.08.16 - -

DrWeb - 5.0.2.03300 - 2010.08.16 - -

Emsisoft - 5.0.0.37 - 2010.08.16 - -

eSafe - 7.0.17.0 - 2010.08.15 - -

eTrust-Vet - 36.1.7793 - 2010.08.16 - -

F-Prot - 4.6.1.107 - 2010.08.16 - -

F-Secure - 9.0.15370.0 - 2010.08.16 - -

Fortinet - 4.1.143.0 - 2010.08.16 - -

GData - 21 - 2010.08.16 - -

Ikarus - T3.1.1.88.0 - 2010.08.16 - -

Jiangmin - 13.0.900 - 2010.08.16 - -

Kaspersky - 7.0.0.125 - 2010.08.16 - -

McAfee - 5.400.0.1158 - 2010.08.16 - -

McAfee-GW-Edition - 2010.1 - 2010.08.16 - -

Microsoft - 1.6004 - 2010.08.16 - -

NOD32 - 5369 - 2010.08.16 - -

Norman - 6.05.11 - 2010.08.15 - -

nProtect - 2010-08-16.01 - 2010.08.16 - -

Panda - 10.0.2.7 - 2010.08.15 - -

PCTools - 7.0.3.5 - 2010.08.16 - -

Prevx - 3.0 - 2010.08.16 - -

Rising - 22.61.00.04 - 2010.08.16 - -

Sophos - 4.56.0 - 2010.08.16 - -

Sunbelt - 6740 - 2010.08.16 - -

SUPERAntiSpyware - 4.40.0.1006 - 2010.08.16 - -

Symantec - 20101.1.1.7 - 2010.08.16 - -

TheHacker - 6.5.2.1.349 - 2010.08.16 - -

TrendMicro - 9.120.0.1004 - 2010.08.16 - -

TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.16 - -

VBA32 - 3.12.14.0 - 2010.08.13 - -

ViRobot - 2010.8.16.3990 - 2010.08.16 - -

VirusBuster - 5.0.27.0 - 2010.08.15 - -

File info:

MD5: 1ee2396671a675ec91ed41ec67a38f50

SHA1: e327c478832bb08bd3164a096bc397d73d90bb44

SHA256: 7102caadb6a558c66e792164316288158796bb68880c1dfcbb9467c619e810ff

File size: 65 bytes

Scan date: 2010-08-16 11:04:20 (UTC)

 

 

 

Pour finir le fichier "utk4otgz.sys" qui semble infesté :

 

 

 

Antivirus results

AhnLab-V3 - 2010.08.16.02 - 2010.08.16 - -

AntiVir - 8.2.4.34 - 2010.08.16 - -

Antiy-AVL - 2.0.3.7 - 2010.08.16 - -

Authentium - 5.2.0.5 - 2010.08.16 - W32/Bagle.IJ

Avast - 4.8.1351.0 - 2010.08.15 - -

Avast5 - 5.0.332.0 - 2010.08.15 - -

AVG - 9.0.0.851 - 2010.08.16 - -

BitDefender - 7.2 - 2010.08.16 - Rootkit.Bagle.K

CAT-QuickHeal - 11.00 - 2010.08.16 - -

ClamAV - 0.96.0.3-git - 2010.08.16 - Trojan.Agent-66914

Comodo - 5758 - 2010.08.16 - -

DrWeb - 5.0.2.03300 - 2010.08.16 - -

Emsisoft - 5.0.0.37 - 2010.08.16 - Trojan.Win32.Bagle!IK

eSafe - 7.0.17.0 - 2010.08.15 - Win32.Bagle.RC.worm

eTrust-Vet - 36.1.7793 - 2010.08.16 - -

F-Prot - 4.6.1.107 - 2010.08.16 - W32/Bagle.IJ

F-Secure - 9.0.15370.0 - 2010.08.16 - Rootkit:W32/Bagle.SR

Fortinet - 4.1.143.0 - 2010.08.16 - W32/Bagle.ZNG!worm

GData - 21 - 2010.08.16 - Rootkit.Bagle.K

Ikarus - T3.1.1.88.0 - 2010.08.16 - Trojan.Win32.Bagle

Jiangmin - 13.0.900 - 2010.08.16 - Trojan/Agent.cmdf

Kaspersky - 7.0.0.125 - 2010.08.16 - -

McAfee - 5.400.0.1158 - 2010.08.16 - -

McAfee-GW-Edition - 2010.1 - 2010.08.16 - -

Microsoft - 1.6004 - 2010.08.16 - -

NOD32 - 5369 - 2010.08.16 - -

Norman - 6.05.11 - 2010.08.15 - -

nProtect - 2010-08-16.01 - 2010.08.16 - Worm/W32.Bagle.7168

Panda - 10.0.2.7 - 2010.08.15 - -

PCTools - 7.0.3.5 - 2010.08.16 - Trojan-Downloader.Bagle

Prevx - 3.0 - 2010.08.16 - Medium Risk Malware

Rising - 22.61.00.04 - 2010.08.16 - Trojan.Win32.Generic.51E920C9

Sophos - 4.56.0 - 2010.08.16 - -

Sunbelt - 6740 - 2010.08.16 - -

SUPERAntiSpyware - 4.40.0.1006 - 2010.08.16 - Trojan.Agent/Gen

Symantec - 20101.1.1.7 - 2010.08.16 - -

TheHacker - 6.5.2.1.349 - 2010.08.16 - Trojan/Rootkit.gen

TrendMicro - 9.120.0.1004 - 2010.08.16 - -

TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.16 - -

VBA32 - 3.12.14.0 - 2010.08.13 - -

ViRobot - 2010.8.16.3990 - 2010.08.16 - Trojan.Win32.Bagle.7168

VirusBuster - 5.0.27.0 - 2010.08.15 - -

File info:

MD5: 524d8d450622db4a7875b111c299a76b

SHA1: fe22db1e0b864e77baeca5520c05c42431784fd8

SHA256: 7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237

File size: 7168 bytes

Scan date: 2010-08-16 11:09:07 (UTC)

 

 

 

Voila

[pear]

Bonjour,

 

Bagle!!!

 

 

Télécharger FindyKill sur le bureau

 

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Si, donc, vous avez une version antérieure, désinstallez la.

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Lancer l'installation avec les Paramètres par défaut

Exécuter en tant qu'administrateur

Sous Vista, Désactiver l'UAC

Pour désactiver l'UAC, ouvrez le panneau de configuration puis cliquez en haut à droite sur Comptes d'utilisateurs

Dans Comptes d'utilisateurs, cliquez sur la dernière option Activer ou désactiver le contrôle des comptes d'utilisateurs

Décochez l'option, Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système

Une popup s'ouvre alors pour vous demander de redémarrer l'ordinateur, cliquez alors sur Redémarrer maintenant

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire

Sur PCA,En Français

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Double cliquer sur le raccourci présent sur le bureau

Tapez : F et touche [Entrée] pour avoir le programme en français

Au menu principal,choisir l'option 1 (Recherche)

le rapport C:\FindyKill.txt sera généré.

[mo;mo]

Voila le rapport de FindyKill :

 

 

 

############################## | FindyKill V5.045 |

 

# User : p15 (Administrateurs) # POSTE15

# Update on 23/06/2010 by El Desaparecido

# Start at: 17:12:25 | 16/08/2010

# Website : Bienvenue dans nos Pages Persos

# Contact : FindyKill.Contact@gmail.com

 

# Intel® Core2 Duo CPU E7500 @ 2.93GHz

# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3

# Internet Explorer 8.0.6001.18702

# Windows Firewall Status : Enabled

# AV : AVG Anti-Virus Free 9.0 [ Enabled | Updated ]

 

# C:\ # Disque fixe local # 148,92 Go (73,05 Go free) [OS] # NTFS

# D:\ # Disque fixe local # 83,87 Go (83,8 Go free) [Data] # NTFS

# E:\ # Disque CD-ROM

 

################## | Eléments infectieux |

 

 

################## | Registre |

 

 

################## | Etat |

 

# Affichage des fichiers cachés : OK

 

# Mode sans echec : OK

 

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )

# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )

# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

 

################## | ! Fin du rapport # FindyKill V5.045 ! |

[pear]

Bonsoir,

 

Bagle n'était pas actif sur votre machine.

 

Avez vous accès au mode sans échec ou un disfonctionnement quelconque ?

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

File::

c:\windows\system32\drivers\utk4otgz.sys

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[mo;mo]

Les infections se sont répandues sur d'autres pc en réseau, je ne vais pas essayer de désinfecter chacun....je réinstallerai win.

Merci Pear pour tes réponses et ton suivi.

Je cloture.