Sujet Précédent Sujet Suivant

APPLIC WIN32 non VALIDE - BAGLE

Résolu/Fermé
EREVAN500 Messages postés 5 Date d'inscription mardi 13 janvier 2009 Statut Membre Dernière intervention 14 janvier 2009 - 13 janv. 2009 à 14:44
EREVAN500 Messages postés 5 Date d'inscription mardi 13 janvier 2009 Statut Membre Dernière intervention 14 janvier 2009 - 14 janv. 2009 à 19:53
Bonjour,

Config : Windows XP SP2

Après une infection par Bagle, j'ai réussi après plusieurs scans en ligne (Kaspersky, BitDefender, Trend Micro/HouseCall), boot sur CD et l'utilisation de Findykill (merci à Chiquitine !) à éradiquer la chose (rapports Findykill et BitDefender sans virus signalé).

En revanche, il m'est toujours impossible d'ouvrir un exécutable de quelque Antivirus que ce soit (Hijackthis, Antivir, Avast, Spybot, Ad-Aware etc). Message " ...n'est pas une application Win32 valide). Les différentes solutions pour régler le problème win 32 n'ont pas abouti : sfc /scannow, regsvr32 /i SHELL32.DLL

Impossible également d'ouvrir les fichiers Zip contenant un exécutable. Message " l'archive est d'un format corrompu ou endommagé".

Pas de son ("aucun périphérique audio détecté" dans panneau de config) et impossible d'imprimer quel que soit le soft utilisé.

Dans le journal des évènements j'ai trouvé ceci :

valeur inattendue ou absente (nom : 'PackageName', valeur : '') dans la clé 'HKLM\Software\Classes\Installer\Products\B0B35DEDC76B4424EAA66DDFC3821DFE\SourceList'

La valeur inattendue est "C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon25081482.exe,3"

Voilà l'état des lieux. J'imagine que le registre est gangrené quelque part mais pas de piste pour attaquer.

Avez-vous une idée ?

Merci infiniment

2 réponses

Réponse 1 / 2
EREVAN500 Messages postés 5 Date d'inscription mardi 13 janvier 2009 Statut Membre Dernière intervention 14 janvier 2009
13 janv. 2009 à 15:38
J'ai fait une détection COMBOFix. Le rapport ici :

ComboFix 09-01-11.04 - Administrateur 2009-01-13 15:28:06.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2047.1535 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\kill50.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\app.exe
c:\windows\system32\rqstv.ini
c:\windows\system32\rqstv.ini2
c:\windows\system32\rqstv.tmp
j:\recycler\Thumbs.db

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-13 au 2009-01-13 ))))))))))))))))))))))))))))))))))))
.

2009-01-13 13:36 . 2009-01-13 13:36 <REP> d-------- c:\windows\LastGood
2009-01-13 11:37 . 2009-01-13 12:53 <REP> d-------- c:\program files\FindyKill
2009-01-12 17:15 . 2009-01-12 17:15 <REP> d-------- c:\program files\Panda Security
2009-01-12 17:01 . 2009-01-12 17:01 <REP> d-------- c:\program files\Alwil Software
2009-01-12 14:15 . 2009-01-12 14:57 <REP> d-------- c:\documents and settings\Administrateur\.rainlendar2
2009-01-12 10:20 . 2009-01-13 12:12 494,162 --a------ c:\windows\system32\perfh040.dat
2009-01-12 10:20 . 2009-01-13 12:12 78,062 --a------ c:\windows\system32\perfc040.dat
2009-01-12 09:13 . 2009-01-13 13:37 <REP> d-------- c:\windows\BDOSCAN8
2009-01-11 18:24 . 2009-01-11 18:24 <REP> d-------- c:\windows\system32\Kaspersky Lab
2009-01-11 11:38 . 2009-01-12 11:39 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
2009-01-11 11:14 . 2009-01-11 12:27 <REP> d-------- c:\windows\SxsCaPendDel
2008-12-22 17:28 . 2008-12-22 17:28 <REP> d-------- c:\windows\system32\Adobe
2008-12-21 17:01 . 2008-12-21 17:02 796,672 --a------ c:\windows\GPInstall.exe
2008-12-21 17:01 . 2000-09-29 17:00 8,784 --a------ c:\windows\F_France.gpl
2008-12-16 20:45 . 2008-12-16 20:45 <REP> d-------- c:\documents and settings\All Users\Application Data\LogiShrd
2008-12-16 20:42 . 2008-12-16 20:42 <REP> d-------- c:\program files\Fichiers communs\Logishrd
2008-12-16 20:42 . 2008-12-16 20:42 <REP> d-------- c:\documents and settings\Administrateur\Application Data\InstallShield
2008-12-16 20:42 . 2008-05-02 02:38 301,656 --a------ c:\windows\system32\BtCoreIf.dll
2008-12-13 18:19 . 2009-01-06 15:05 54,156 --ah----- c:\windows\QTFont.qfn
2008-12-13 18:19 . 2008-12-13 18:19 1,409 --a------ c:\windows\QTFont.for

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 12:28 196,608 ----a-w c:\windows\system32\drivers\nStandard.bin
2009-01-13 12:12 --------- d-----w c:\documents and settings\Administrateur\Application Data\XnView
2009-01-13 09:29 --------- d-----w c:\program files\Wanadoo
2009-01-10 15:46 --------- d-----w c:\program files\eMule
2009-01-06 09:39 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-30 21:51 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-12-25 09:32 --------- d-----w c:\documents and settings\Administrateur\Application Data\FileZilla
2008-12-16 19:42 --------- d-----w c:\program files\Fichiers communs\Logitech
2008-12-12 12:56 --------- d-----w c:\documents and settings\Administrateur\Application Data\gtk-2.0
2008-11-28 14:14 --------- d-----w c:\documents and settings\Administrateur\Application Data\Wildfire
2008-11-27 21:38 --------- d-----w c:\documents and settings\Administrateur\Application Data\Samsung
2008-11-27 18:06 --------- d-----w c:\program files\Samsung
2008-11-27 18:04 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-11-24 10:53 --------- d-----w c:\program files\Intuisphere
2008-11-14 12:55 --------- d-----w c:\documents and settings\Administrateur\Application Data\Logitech
2008-11-14 12:54 --------- d-----w c:\program files\Logitech
2008-11-14 12:54 --------- d-----w c:\documents and settings\All Users\Application Data\Logitech
2008-03-05 19:39 81,920 ----a-w c:\documents and settings\Administrateur\Application Data\ezpinst.exe
2008-03-05 19:39 47,360 ----a-w c:\documents and settings\Administrateur\Application Data\pcouffin.sys
2008-01-06 15:45 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
2005-12-04 22:12 20,640 ----a-w c:\windows\inf\pxhelp20.sys
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
2008-02-04 19:26 151,040 --sh--w c:\windows\system32\VistaUltm.dll
.

------- Sigcheck -------

2006-09-09 14:49 360576 c7be59b07c6eb74bea6fd67c1b164015 c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-12-16 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.imc"= imc32.acm
"msacm.l3codecp"= l3codecp.acm
"VIDC.i263"= i263_32.drv
"vidc.i420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^ashAvast.exe.lnk]
path=c:\documents and settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ashAvast.exe.lnk

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^APC UPS Status.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\APC UPS Status.lnk
backup=c:\windows\pss\APC UPS Status.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-01-19 11:55 5674352 c:\program files\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-04-12 16:44 8429568 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2008-02-29 03:12 76304 c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\FlashFXP\\FlashFXP.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 jahci;jahci;c:\windows\system32\drivers\jahci.sys [2006-09-09 33280]
R0 SI3112r;Silicon Image SiI 3512 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [2007-08-09 97920]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [2007-07-26 169472]
S3 atidgllk;atidgllk;c:\program files\ASUS\SmartDoctor\atidgllk.sys [2005-10-20 5376]
S3 maconfservice;Ma-Config Service;"h:\ma-config\maconfservice.exe" --> h:\ma-config\maconfservice.exe [?]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - IP6FW
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{3E6C67A0-D4CE-45ED-A781-BB75CDE06327} - (no file)
Notify-byxwvts - byxwvts.dll
Notify-vtsqr - (no file)


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.mini20.com
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://cid-8b3e34eb5b02a0c7.spaces.live.com/?partner=Live.Spaces&mkt=fr-FR
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Tout télécharger avec Free Download Manager - file://h:\free download manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://h:\free download manager\dllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://h:\free download manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://h:\free download manager\dlfvideo.htm
Trusted Zone: *.localhost

c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\yv9dynst.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr&source=iglk
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?btnG=Google+Search&q=
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\yv9dynst.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\documents and settings\Administrateur\Mes documents\Netscape6\nppl3260.dll
FF - plugin: c:\documents and settings\Administrateur\Mes documents\Netscape6\nprjplug.dll
FF - plugin: c:\documents and settings\Administrateur\Mes documents\Netscape6\nprpjplug.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPJPI150_08.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 15:28:43
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1120)
c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll
.
Heure de fin: 2009-01-13 15:29:24
ComboFix-quarantined-files.txt 2009-01-13 14:29:22

Avant-CF: 72 168 206 336 octets libres
Après-CF: 72,277,848,064 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

205
0
glopglop
13 janv. 2009 à 23:41
Bonjour,
je viens d'avoir exactement la même merde. C'est bagle j'ai bien ramé pour m'en débarrasser. Pour finir le boulot, j'ai trouvé
un outil (espagnol) très bien adapté :
Ouvre ce lien :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

tout en bas de cette page tu trouveras un outil à telecharger,
clique sur escargar Elibagla 10.09

installe ce fichier sur le bureau (il va te demander enregistrer ou exécuter, tu choisis enregistrer et, dans la fenêtre, tu cluqes, à gauche, sur bureau).
Va sur ton bureau et double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt

Après çà devrait rouler comme avant.
Salut
0
EREVAN500 Messages postés 5 Date d'inscription mardi 13 janvier 2009 Statut Membre Dernière intervention 14 janvier 2009 > glopglop
14 janv. 2009 à 12:23
Bonjour glopglop et merci de ta réponse à 23:41 !!

J'étais aussi sur la bête à la même heure et après. J'ai fait un coup d'Elibagla et apparemment c'est nettoyé (je peux ouvrir les antivirus et les fichiers zip) mais j'ai toujours "aucun périphérique son" et pas possible d'imprimer. Pour l'instant, je travaille sur un rapport Hijackthis mais c'est cotton pour analyser et virer ou pas dans le registre au niveau HKCU et Cie.

Je te tiens au courant et encore merci pour ta réponse

PS : Bagle c'est vraiment une saleté !!!
0
EREVAN500 Messages postés 5 Date d'inscription mardi 13 janvier 2009 Statut Membre Dernière intervention 14 janvier 2009 > EREVAN500 Messages postés 5 Date d'inscription mardi 13 janvier 2009 Statut Membre Dernière intervention 14 janvier 2009
14 janv. 2009 à 16:40
Dernier rapport Elibagla.OK mais toujours pas de son. Je creuse

Wed Jan 14 16:34:33 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):

Wed Jan 14 16:35:01 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 4174
Nº Total de Ficheros: 40336
Nº de Ficheros Analizados: 6249
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
0
Réponse 2 / 2
EREVAN500 Messages postés 5 Date d'inscription mardi 13 janvier 2009 Statut Membre Dernière intervention 14 janvier 2009
14 janv. 2009 à 19:53
Fin de l'histoire. Le son est revenu. Après avoir vérifié, redémarré, visité 1000 fois le registre, la solution vien du moulin à café : quand il n'est pas branché, il ne marche pas (si,si).

En clair, dans le panneau de config, j'ai désactivé la carte son (qui fonctionnait correctement d'après ce cher Windows) puis aussitôt réactivée et boum ça marche !! Ca fait penser à la lettre volée d'Edgar poe. La honte !!!
0

Discussions similaires

ORA-00904: identificateur non valide
gamp -
X-DBA -

2 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
Télécharger un PDF non valide
camelia4271 -
Eunice -

10 réponses
Erreur Automation
CCM_lfrt -
Paola -

4 réponses
Problème de connexion ou code ihm non valide
Marcus567 -
Hassen -

14 réponses