Infection WinNT / Bagle.gen : à l'aide SVP

Question

Bonjour,

Ma machine est infectée par un programme récpéré sur emule. Je ne sais pas ou est situé le problème et surtout pas ou commencer.

Alerte virus : Microsoft a détecté le virus WinNT / Bagle.gen sur votre ordinateur.

J'ai regardé les forums, tenté une réparation sans aboutir. Il semble qu'un post particulier, vu par des spécialistes à des chances d'aboutir.

J'ai eu

NTSB investigators flighr recorder (black box) analyser
National Transportation Safety Board

au démarrage du PC.

Après avoir lancé FindyKill, voici le rapport :

----------------- FindyKill V4.710 ------------------

* User : Philippe - Planetis
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 21/12/08 par Chiquitine29
* Recherche effectuée à 18:17:21 le 30/12/2008
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Astase\UltraBackup\4.9\bin\thpassiveclientsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\Program Files\Astase\UltraBackup\4.9\bin\thtrayagent.exe
C:\Program Files\Astase\UltraBackup\4.9\bin\tbs.exe
C:\Program Files\Saitek\Software\SaiMfd.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\ScanSoft\OmniPage15.0\Opware15.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ScanSoft\OmniPage15.0\OpAgent.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Documents and Settings\Philippe\Application Data\drivers\winupgro.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearchIndexer.exe
C:\WINDOWS\system32\taskmgr.exe

--------------- [ Processus infectieux stoppés ] ----------------

"C:\Documents and Settings\Philippe\Application Data\drivers\winupgro.exe" (3812)

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Found ! - C:\WINDOWS\prefetch\332031.EXE-115E0E7E.pf
Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-377A3EB9.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

Found ! [30/12/2008 18:16] - C:\WINDOWS\system32\mdelk.exe
Found ! [30/12/2008 18:16] - C:\WINDOWS\system32\wintems.exe
Found ! [30/12/2008 18:18] - C:\WINDOWS\system32\ban_list.txt

»»»» Presence des fichiers dans C:\WINDOWS\system32\config\systemprofile\AppData\Roaming

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

»»»» Presence des fichiers dans C:\Documents and Settings\Philippe\Application Data

Found ! [30/12/2008 18:15] - "C:\Documents and Settings\Philippe\Application Data\drivers"
Found ! [30/12/2008 18:15] - "C:\Documents and Settings\Philippe\Application Data\drivers\srosa.sys"
Found ! [30/12/2008 18:15] - "C:\Documents and Settings\Philippe\Application Data\drivers\srosa2.sys"
Found ! [10/09/2006 02:02] - "C:\Documents and Settings\Philippe\Application Data\drivers\winupgro.exe"
Found ! [30/12/2008 18:16] - "C:\Documents and Settings\Philippe\Application Data\drivers\downld"
Found ! [30/12/2008 18:16] - C:\Documents and Settings\Philippe\Application Data\drivers\downld\313859.exe
Found ! [30/12/2008 18:16] - C:\Documents and Settings\Philippe\Application Data\drivers\downld\325609.exe
Found ! [30/12/2008 18:16] - C:\Documents and Settings\Philippe\Application Data\drivers\downld\325765.exe
Found ! [30/12/2008 18:16] - C:\Documents and Settings\Philippe\Application Data\drivers\downld\332031.exe

»»»» Presence des fichiers dans C:\DOCUME~1\Philippe\LOCALS~1\Temp

»»»» Presence des fichiers dans C:\Documents and Settings\Philippe\Local Settings\Temporary Internet Files\Content.IE5

Found ! [30/12/2008 18:16] - C:\Documents and Settings\Philippe\Local Settings\Temporary Internet Files\Content.IE5\P1MPEVE8\b64_3[1].jpg

--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
Yahoo! Pager=C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
Update Service="C:\Program Files\Fichiers communs\Teknum Systems\update.exe" /startup
SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
OpAgent="C:\Program Files\ScanSoft\OmniPage15.0\OpAgent.exe" /agent
Iomega Active Disk=C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
Creative Detector="C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
yTQKAq="C:\DOCUME~1\Philippe\LOCALS~1\Temp\cxtpls_loader.exe" /PC=CP.IST2 /SHUN /UNAR="/CTUN" /PC=CP.IST2 /SHUN /UNAR="/CTUN" /PC=CP.IST2 /SHUN /UNAR="/CTUN" /PC=CP.IST2 /SHUN /UNAR="/CTUN" /PC=CP.IST2 /SHUN /UNAR="/CTUN" /PC=CP.IST2 /SHUN /UNAR="/CTUN" /PC=CP.IST2 /SHUN /UNAR="/CTUN"
_BackupService="C:\Program Files\Astase\UltraBackup\4.9\bin\tbs.exe" -start
Windows Defender="C:\Program Files\Windows Defender\MSASCui.exe" -hide
vmtalk=C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
thnotify="C:\Program Files\Astase\UltraBackup\4.9\bin\thtrayagent.exe" /start
Start Natso Backup XPerso=C:\Program Files\Natso Backup\Nbackup_pro.exe
Start Natso Backup Server 4.21=C:\Program Files\Natso Backup\nb_server.exe
SSBkgdUpdate="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
SaiMfd=C:\Program Files\Saitek\Software\SaiMfd.exe
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
Profiler=C:\Program Files\Saitek\Software\Profiler.exe
PDF3 Registry Controller="C:\Program Files\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe"
Opware15="C:\Program Files\ScanSoft\OmniPage15.0\Opware15.exe"
OpScheduler="C:\Program Files\ScanSoft\OmniPage15.0\OpScheduler.exe"
NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
Iomega Startup Options=C:\Program Files\Iomega\Common\ImgStart.exe
Iomega Drive Icons=C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
HPDJ Taskbar Utility=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
fI0HV5Ew=C:\PROGRA~1\vuvxrptu\dcQACgBN.exe
EM_EXEC=C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
dyeG0Gd=C:\WINDOWS\dytok.exe
BJCFD=C:\Program Files\BroadJump\Client Foundation\CFD.exe
AtiPTA="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
ActivSurf=C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
Á²# L"h'þ9Óœð3rÅWC:\Program Files\ISTsvc\istsvc.exe=C:\WINDOWS\dytok.exe
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

[HKEY_CURRENT_USER\software\local appwizard-generated applications\AD2KClient]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

--------------- [ Registre / Clés infectieuses ] ----------------

Found ! - HKEY_USERS\S-1-5-21-484763869-1708537768-682003330-1005\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-484763869-1708537768-682003330-1005\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-484763869-1708537768-682003330-1005\Software\DateTime4
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sK9Ou0s

--------------- [ Etat / Services ] ----------------

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

- sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

- sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

- sans echec non fonctionnel !!

+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 2

/!\ Ip6Fw - Type de démarrage = 4

/!\ SharedAccess - Type de démarrage = 4

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4

/!\ WinDefend - Type de démarrage = 4

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Lecteur fixe

E: - Lecteur amovible

+- presence des fichiers :

--------------- [ Registre / Mountpoint2 ] ----------------

-> Not found !

------------------- ! Fin du rapport ! --------------------

Pouvez-vous m'aider à me sortir de ce mauvais pas ? Merci de votre aide.

Afficher la suite

phr29 · Answer

Bonjour 

J'ai lancé ComboFix qui a détecté la présence d'une activité de rootkit. 
Maintenant, dans tous les modes de lancement de XP, je n'ai plus la mire de connexion mais un écran bleu graphique avec Windows XP. 

Le mode sans échec n'est plus actif car avec ce choix le PC reboot.

Infection WinNT / Bagle.gen : à l'aide SVP

1 réponse

Votre réponse

Discussions similaires

Newsletters