pb suite infection bagle

ciocciu · le 10 septembre 2010

bonjour

j'ai malencontreusement téléchargé un fichier infecté d'un bagle

j'ai pris elibagla.exe qui me l'a détruit mais il semble que j'ai toujours des soucis

connexion internet qui se coupe au boiut de qq minutes (délai dépassé)

homeplayer qui marche plus

impossible de lancer zonealarm (zlclient n'est pas une appli win32 valide)

etc

voici un log combofix et highjackthis

ComboFix 10-09-09.04 - lolo 10/09/2010 22:34:11.1.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.192 [GMT 2:00]

Lancé depuis: c:\documents and settings\lolo\Bureau\ComboFix.exe

FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

ADS - WINDOWS: deleted 24 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\lolo\AUTORUN.INF

c:\documents and settings\lolo\lolo.exe

c:\windows\system32\Ijl11.dll

c:\windows\system32\scrrnfr.dll

c:\windows\system32\spool\prtprocs\w32x86\CNMPP5y.DLL

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-08-10 au 2010-09-10 ))))))))))))))))))))))))))))))))))))

.

2010-09-08 20:17 . 2010-09-09 18:00 -------- d-----w- c:\documents and settings\lolo\Application Data\vlc

2010-09-08 20:05 . 2010-09-08 20:05 -------- d-----w- c:\program files\Windows Media Connect 2

2010-09-08 20:02 . 2010-09-08 20:03 -------- d-----w- c:\windows\system32\drivers\UMDF

2010-09-08 18:34 . 2009-10-13 14:42 25704 ----a-w- c:\windows\system32\drivers\WsAudio_DeviceS(5).sys

2010-09-08 18:34 . 2009-10-13 14:42 25704 ----a-w- c:\windows\system32\drivers\WsAudio_DeviceS(4).sys

2010-09-08 18:34 . 2009-10-13 14:42 25704 ----a-w- c:\windows\system32\drivers\WsAudio_DeviceS(3).sys

2010-09-08 18:34 . 2009-10-13 14:42 25704 ----a-w- c:\windows\system32\drivers\WsAudio_DeviceS(2).sys

2010-09-08 18:33 . 2009-10-13 14:42 25704 ----a-w- c:\windows\system32\drivers\WsAudio_DeviceS(1).sys

2010-09-08 17:45 . 2010-09-09 18:30 -------- d-----w- c:\program files\Fichiers communs\Common Share

2010-09-08 17:44 . 2010-09-08 17:52 -------- d-----w- c:\program files\Ripp-it_AM

2010-09-08 16:59 . 2010-09-08 17:11 -------- d-----w- c:\program files\WinAVI MP4 Converter

2010-09-08 16:42 . 2010-09-08 16:42 -------- d-----w- c:\program files\OJOsoft

2010-09-08 16:42 . 2008-12-18 11:38 499712 ----a-w- c:\windows\system32\msvcp71.dll

2010-09-08 16:42 . 2008-12-18 11:38 348160 ----a-w- c:\windows\system32\msvcr71.dll

2010-09-08 16:42 . 2008-12-18 11:38 1060864 ----a-w- c:\windows\system32\mfc71.dll

2010-09-08 16:25 . 2010-09-08 16:26 -------- d--h--w- c:\documents and settings\All Users\Application Data\CanonIJMyPrinter

2010-09-08 15:43 . 2010-09-08 15:43 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJ

2010-09-08 15:38 . 2010-09-08 15:38 -------- d--h--w- c:\documents and settings\All Users\Application Data\CanonIJScan

2010-09-08 15:37 . 2010-09-08 15:38 -------- d-----w- c:\documents and settings\lolo\Application Data\Canon

2010-09-08 15:37 . 2010-09-08 17:12 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJPLM

2010-09-08 15:35 . 2009-04-03 13:59 110592 ----a-w- c:\windows\system32\CNC270I.dll

2010-09-08 15:35 . 2009-03-11 09:34 303104 ----a-w- c:\windows\system32\CNC270L.dll

2010-09-08 15:35 . 2009-04-03 14:00 1310720 ----a-w- c:\windows\system32\CNC270C.dll

2010-09-08 15:35 . 2009-04-03 13:57 106496 ----a-w- c:\windows\system32\CNC270U.dll

2010-09-08 15:35 . 2008-08-25 16:02 15872 ----a-w- c:\windows\system32\CNHMCA.dll

2010-09-08 15:35 . 2004-08-03 20:58 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys

2010-09-08 15:35 . 2004-08-03 20:58 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys

2010-09-08 15:30 . 2010-09-08 15:30 -------- d--h--w- c:\documents and settings\All Users\Application Data\CanonBJ

2010-09-08 15:29 . 2010-09-08 15:29 -------- d--h--w- c:\windows\system32\CanonIJ Uninstaller Information

2010-09-08 15:29 . 2009-02-04 13:17 90112 ----a-w- c:\windows\system32\CNC270O.dll

2010-09-08 15:29 . 2009-03-18 09:09 178176 ----a-w- c:\windows\system32\CNMIU9X.DLL

2010-09-08 15:29 . 2010-09-08 15:29 -------- d--h--w- c:\program files\CanonBJ

2010-09-08 14:53 . 2010-09-08 14:53 -------- d-----w- c:\documents and settings\lolo\Local Settings\Application Data\ATI

2010-09-08 14:53 . 2010-09-08 14:53 -------- d-----w- c:\documents and settings\lolo\Application Data\ATI

2010-09-03 17:09 . 2010-09-03 17:09 -------- d-----w- c:\documents and settings\lolo\Application Data\Python-Eggs

2010-09-03 17:08 . 2010-09-04 14:59 -------- d-----w- c:\documents and settings\lolo\.moovida

2010-09-03 16:44 . 2010-09-03 16:44 -------- d-----w- c:\program files\MSXML 4.0

2010-09-01 17:11 . 2010-09-01 17:24 -------- d-----w- c:\documents and settings\lolo\Application Data\Nero

2010-09-01 16:08 . 2010-09-01 16:25 -------- d-----w- c:\program files\Nero

2010-09-01 16:07 . 2010-09-01 16:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero

2010-09-01 16:07 . 2010-09-01 16:26 -------- d-----w- c:\program files\Fichiers communs\Nero

2010-08-31 19:56 . 2010-08-31 20:58 -------- d-----w- c:\program files\SlySoft

2010-08-31 18:55 . 2010-08-31 18:55 -------- d-----w- c:\program files\MSECache

2010-08-31 18:42 . 2010-08-31 18:42 -------- d-----w- c:\program files\Alcohol Soft

2010-08-31 18:31 . 2010-08-31 18:31 697328 ----a-w- c:\windows\system32\drivers\sptd.sys

2010-08-30 22:22 . 2010-09-08 20:02 -------- d-----w- c:\windows\system32\LogFiles

2010-08-28 17:22 . 2010-08-28 17:22 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Adobe

2010-08-28 17:22 . 2010-08-28 17:22 -------- d-----w- c:\documents and settings\LocalService\Bureau

2010-08-28 17:16 . 2010-09-01 17:16 64888 ----a-w- c:\documents and settings\lolo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-08-28 11:16 . 2010-08-28 11:17 -------- d-----w- c:\documents and settings\lolo\Application Data\Notepad++

2010-08-28 11:16 . 2010-08-28 11:16 -------- d-----w- c:\program files\Notepad++

2010-08-13 13:59 . 2004-03-22 13:17 25840 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll

2010-08-13 13:59 . 2004-03-22 13:17 24816 ----a-w- c:\windows\system32\mdimon.dll

2010-08-13 13:59 . 2010-08-13 13:59 -------- d-----w- c:\program files\Microsoft.NET

2010-08-13 13:56 . 2010-08-13 13:58 -------- d-----w- c:\program files\Microsoft Office 2003

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-10 17:12 . 2010-09-10 17:12 388096 ----a-r- c:\documents and settings\lolo\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2010-09-10 17:12 . 2010-09-10 17:12 -------- d-----w- c:\program files\Trend Micro

2010-09-10 16:51 . 2001-08-28 12:00 72564 ----a-w- c:\windows\system32\perfc00C.dat

2010-09-10 16:51 . 2001-08-28 12:00 461642 ----a-w- c:\windows\system32\perfh00C.dat

2010-09-10 16:32 . 2010-09-10 16:32 4067 ----a-w- C:\FindyKill_Upload_Me_LOLO-EEBF1AD74A.zip

2010-09-09 20:20 . 2010-06-10 16:22 -------- d-----w- c:\program files\AtomixMP3

2010-09-09 20:20 . 2010-05-15 17:24 -------- d-----w- c:\program files\IKEA HomePlanner

2010-09-09 20:11 . 2010-04-07 16:51 -------- d-----w- c:\documents and settings\lolo\Application Data\OfferBox

2010-09-09 18:31 . 2010-03-19 16:59 140852 --sha-w- c:\windows\system32\drivers\fidbox.idx

2010-09-09 18:31 . 2010-03-19 16:59 11927584 --sha-w- c:\windows\system32\drivers\fidbox.dat

2010-09-09 18:29 . 2010-03-28 11:35 -------- d-----w- c:\program files\ma-config.com

2010-09-09 18:29 . 2010-03-28 11:35 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com

2010-09-08 22:13 . 2010-03-19 21:41 -------- d-----w- c:\program files\eMule

2010-09-08 20:14 . 2010-04-07 16:30 -------- d-----w- c:\program files\VideoLAN

2010-09-08 19:56 . 2010-09-04 15:17 -------- d-----w- c:\program files\Fluendo

2010-09-08 19:55 . 2010-09-04 15:27 -------- d-----w- c:\documents and settings\lolo\Application Data\moovida-1

2010-09-08 16:24 . 2010-09-08 16:25 1412608 ----a-w- c:\windows\Internet Logs\xDB9.tmp

2010-09-08 16:24 . 2010-09-08 16:25 4146688 ----a-w- c:\windows\Internet Logs\xDB8.tmp

2010-09-08 15:37 . 2010-09-08 14:24 -------- d-----w- c:\program files\Canon

2010-09-08 14:53 . 2010-09-08 14:53 -------- d-----w- c:\documents and settings\All Users\Application Data\ATI

2010-09-08 14:39 . 2010-09-08 14:39 -------- d--h--w- c:\documents and settings\All Users\Application Data\CanonIJEGV

2010-08-30 22:09 . 2010-03-28 11:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2010-06-14 14:30 . 2010-03-18 14:38 743936 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe

.

------- Sigcheck -------

[-] 2008-05-02 . 3224132B659B0D36594BB686D144D9C0 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

[-] 2008-04-14 . E17C85D5B5CF477638433B851A98499E . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\sfcfiles.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-03-06 819200]

"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-03-06 970752]

"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2010-09-10 919016]

"HomePlayer"="c:\program files\HomePlayer\HomePlayer.exe" [2007-11-06 294912]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_3"="advpack.dll" [2004-08-19 101888]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-06-09 08:06 976832 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2010-06-20 02:04 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]

2007-08-09 13:48 528384 ----a-r- c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]

2009-07-27 02:10 1983816 ----a-w- c:\program files\Canon\MyPrinter\BJMYPRT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

2004-10-13 16:24 1694208 ----a-w- c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

2009-09-29 20:13 61440 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Moovida\\moovida.exe"=

"c:\\Program Files\\HomePlayer\\HomePlayer.exe"=

"c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=

S3 WsAudio_DeviceS(1);WsAudio_DeviceS(1);c:\windows\system32\drivers\WsAudio_DeviceS(1).sys [08/09/2010 20:33 25704]

S3 WsAudio_DeviceS(2);WsAudio_DeviceS(2);c:\windows\system32\drivers\WsAudio_DeviceS(2).sys [08/09/2010 20:34 25704]

S3 WsAudio_DeviceS(3);WsAudio_DeviceS(3);c:\windows\system32\drivers\WsAudio_DeviceS(3).sys [08/09/2010 20:34 25704]

S3 WsAudio_DeviceS(4);WsAudio_DeviceS(4);c:\windows\system32\drivers\WsAudio_DeviceS(4).sys [08/09/2010 20:34 25704]

S3 WsAudio_DeviceS(5);WsAudio_DeviceS(5);c:\windows\system32\drivers\WsAudio_DeviceS(5).sys [08/09/2010 20:34 25704]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [31/08/2010 20:31 697328]

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - c:\progra~1\MI699F~1\OFFICE11\EXCEL.EXE/3000

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

FF - ProfilePath - c:\documents and settings\lolo\Application Data\Mozilla\Firefox\Profiles\qn1cnc91.default\

FF - prefs.js: browser.startup.homepage - yahoo.fr

FF - component: c:\documents and settings\lolo\Application Data\Mozilla\Firefox\Profiles\qn1cnc91.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll

FF - plugin: c:\program files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-AlcoholAutomount - c:\program files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-09-10 22:42

Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(660)

c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2264)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Intel\Wireless\Bin\S24EvMon.exe

c:\program files\Intel\Wireless\Bin\EvtEng.exe

c:\program files\Canon\IJPLM\IJPLMSVC.EXE

c:\program files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

c:\program files\Intel\Wireless\Bin\RegSrvc.exe

c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

c:\windows\system32\wscntfy.exe

c:\program files\Intel\Wireless\Bin\Dot1XCfg.exe

.

**************************************************************************

.

Heure de fin: 2010-09-10 22:47:03 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-09-10 20:47

Avant-CF: 14 373 044 224 octets libres

Après-CF: 14 385 901 568 octets libres

- - End Of File - - 74256CCD1966F4BB60EED273C4A3762C

et highjackthis

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 23:08:45, on 10/09/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE

C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program Files\HomePlayer\HomePlayer.exe

C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [intelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [HomePlayer] C:\Program Files\HomePlayer\HomePlayer.exe -autostart

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI699F~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Canon Inkjet Printer/Scanner/Fax Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

--

End of file - 5877 bytes

merci à celui ou celle qui voudra bien m'aider

lolotte

Apollo · le 11 septembre 2010

Bonsoir,

j'ai malencontreusement téléchargé un fichier

Non, appelons un chat un chat: tu as téléchargé un crack... et c'est de l'inconscience à notre époque car c'est la cible préférée des voyous (comme le P2P).

Je vais t'aider mais ce sera bon pour une fois!

Il est extrêmement dangereux d'utiliser ComboFix sans supervision d'un helper qualifié et formé à cet outil qui est tout sauf un jouet. En outre ta version de XP est illégale, aussi, je ne puis que te conseiller de formater un de ces quatre pour réinstaller un Windows d'origine avec tous ses composants. (et une licence légale).

Aucune garantie de succès ne peut être donnée en passant des outils TRES spéciaux sur un tel système, donc, cela sera sous ton entière responsabilité.

*** Quand on a des émulateurs ou lecteurs virtuels comme Deamon Tools ou Alcoohol, il doivent être désactivés avant de lancer ComboFix; de plus il t'a proposé d'installer la console de récupération, ce que tu as ignoré alors que c'est très important!

Tu devras réinstaller tes programmes de protections, détruits par Bagle. (Zone alarm entr'autres >> "n'est pas une appli32 valide" = Bagle).

1) Pour désactiver/Réactiver les drivers de lecteurs virtuels (XP/Vista) (émulateurs)

Désactivation:

:arrow: Télécharge Defogger.exe de jpshortstuff et enregistre le sur ton bureau

Si tu es sous XP, double-clique dessus pour le lancer
Si tu es sous Vista, clique droit dessus et choisis exécuter en tant qu'administrateur
Dans la petite fenêtre qui s'ouvre, clique sur le bouton Disable.
Un message va t'avertir que tes lecteurs virtuels vont être désactivés. Clique sur Oui pour continuer
Attends que le message Finished apparaisse puis clique sur OK pour fermer la fenêtre.
Defogger va te demander de redémarrer la machine. Accepte en cliquant sur OK

On devra réactiver ça plus tard (après ComboFix).

Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation sur ton Bureau: Ne modifie pas le nom du fichier surtout!

>>Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2
Fais un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >
Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.
A la demande: "continuer de chercher des nuisibles?" >> Accepter!

Note : à présent lorsque tu démarreras ton pc, tu auras un choix à faire: soit démarrer Windows normalement, ou utiliser la Console de Récupération.

------------------------------------

Poste le rapport généré par ComboFix.

Fais ensuite ceci: Télécharge Zip_Scan (par Eric_71) du lien suivant et sauvegarde-le sur ton Bureau :

http://eric71.gee k s togo.com/beta/Z S c.exe

Lance l'outil ZSc.exe par double-clic et accepte son exécution.
Clique maintenant sur le bouton "Scan", au bas à gauche.
Zip_Scan va maintenant rechercher les fichiers .zip infectés, spécifiques à cette infection;
Lorsque l'analyse sera complétée, un rapport apparaîtra à l'écran; ce rapport est également sauvegardé sur ton Bureau (scan.txt)
Copie/colle le contenu intégral de ce rapport ici, dans ta réponse.
Tu dois maintenant fermer l'outil en cliquant sur le bouton "Exit", au bas à droite.
Ne clique surtout pas sur "Disinfect" avant d'en être avisé, au cas où un faux positif serait détecté lors de l'analyse.

Ne prends plus aucune initiative, fais juste ce que j'ai demandé et rien d'autre stp

@++

Modifié le 11 septembre 2010 par Apollo

ciocciu · le 11 septembre 2010

Bonsoir,

Non, appelons un chat un chat: tu as téléchargé un crack... et c'est de l'inconscience à notre époque car c'est la cible préférée des voyous (comme le P2P).

Je vais t'aider mais ce sera bon pour une fois!

Il est extrêmement dangereux d'utiliser ComboFix sans supervision d'un helper qualifié et formé à cet outil qui est tout sauf un jouet. En outre ta version de XP est illégale, aussi, je ne puis que te conseiller de formater un de ces quatre pour réinstaller un Windows d'origine avec tous ses composants. (et une licence légale).

Aucune garantie de succès ne peut être donnée en passant des outils TRES spéciaux sur un tel système, donc, cela sera sous ton entière responsabilité.

*** Quand on a des émulateurs ou lecteurs virtuels comme Deamon Tools ou Alcoohol, il doivent être désactivés avant de lancer ComboFix; de plus il t'a proposé d'installer la console de récupération, ce que tu as ignoré alors que c'est très important!

Tu devras réinstaller tes programmes de protections, détruits par Bagle. (Zone alarm entr'autres >> "n'est pas une appli32 valide" = Bagle).

1) Pour désactiver/Réactiver les drivers de lecteurs virtuels (XP/Vista) (émulateurs)

Désactivation:

:arrow: Télécharge Defogger.exe de jpshortstuff et enregistre le sur ton bureau

Si tu es sous XP, double-clique dessus pour le lancer
Si tu es sous Vista, clique droit dessus et choisis exécuter en tant qu'administrateur

Dans la petite fenêtre qui s'ouvre, clique sur le bouton Disable.

Un message va t'avertir que tes lecteurs virtuels vont être désactivés. Clique sur Oui pour continuer

Attends que le message Finished apparaisse puis clique sur OK pour fermer la fenêtre.

Defogger va te demander de redémarrer la machine. Accepte en cliquant sur OK

On devra réactiver ça plus tard (après ComboFix).

Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation sur ton Bureau: Ne modifie pas le nom du fichier surtout!

>>Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

Fais un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >

Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.

A la demande: "continuer de chercher des nuisibles?" >> Accepter!

Note : à présent lorsque tu démarreras ton pc, tu auras un choix à faire: soit démarrer Windows normalement, ou utiliser la Console de Récupération.

------------------------------------

Poste le rapport généré par ComboFix.

Fais ensuite ceci: Télécharge Zip_Scan (par Eric_71) du lien suivant et sauvegarde-le sur ton Bureau :

http://eric71.gee k s togo.com/beta/Z S c.exe

Lance l'outil ZSc.exe par double-clic et accepte son exécution.

Clique maintenant sur le bouton "Scan", au bas à gauche.

Zip_Scan va maintenant rechercher les fichiers .zip infectés, spécifiques à cette infection;

Lorsque l'analyse sera complétée, un rapport apparaîtra à l'écran; ce rapport est également sauvegardé sur ton Bureau (scan.txt)

Copie/colle le contenu intégral de ce rapport ici, dans ta réponse.

Tu dois maintenant fermer l'outil en cliquant sur le bouton "Exit", au bas à droite.

Ne clique surtout pas sur "Disinfect" avant d'en être avisé, au cas où un faux positif serait détecté lors de l'analyse.

Ne prends plus aucune initiative, fais juste ce que j'ai demandé et rien d'autre stp

@++

bonjour merci pour votre réponse et votre aide

voici le rapport combofix

ComboFix 10-09-09.04 - lolo 11/09/2010 8:42.2.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.135 [GMT 2:00]

Lancé depuis: c:\documents and settings\lolo\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\lolo\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-08-11 au 2010-09-11 ))))))))))))))))))))))))))))))))))))