Bonjour, voila je suis un petit nouveau, je pense être infecter par un bagle: impossible de lancer antivir, spybot, zonealarm, ccleaner et je ne peux même plus me connecter a internet plus de 15 min. AIDEZ MOI S.V.P parce que je suis architecte et j'ai besoin de mon PC tout les jours et la je suis bloqué. En vous remerciant

on va faire sans donc a l ancienne si il te reconnait quelquechose. 1er Méthode : ELIBAGLA Renommer ELIBAGLA * Voici en avant-première une astuce capable de rendre Elibagla plus efficace face aux variantes Bagle ! * Il suffit de le renommer en utilisant le même nom qu'un des fichiers faisant partie de l'infection: ici mdelk.exe et le rootkit sera incapable de faire la différence avec le fichier de l'infection qui porte le même nom et qui lui autorise donc un champ d'action beaucoup plus important. * Elibagla ainsi renommé sera capable en un seul passage de neutraliser totalement l'infection. Il suffit ensuite d'un redémarrage du PC et d'un second scan pour supprimer les restes de l'infection. * A noter que cette astuce marche uniquement si l'exe d'Elibagla est correctement renommé en mdelk.exe ! * Téléchargez ELIBAGLA (by SATINFO) en bas de cette page : http://www.zonavirus.com/datos/descargas/95/elibagla.asp * Cliquez sur le bouton Descargar Elibagla pour télécharger le fichier, placez le sur votre bureau. * Double-cliquez dessus pour l'ouvrir * Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\ (ou la partition contenant le système d'exploitation) * Vérifiez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée * Cliquez sur le bouton Explorar pour lancer l'analyse, à la fin du scan, un rapport est généré, nommé infosat.txt, il est en outre sauvegardé sous la racine : C:\infosat.txt Exemple d'un rapport contenant des fichiers infectés : Thu Feb 28 21:49:09 2008 EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. Restaurada Clave: "SafeBoot\Minimal y Network" Reinicie para Completar la Limpieza. Thu Feb 28 21:49:48 2008 EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE --> Eliminado Bagle.dldr C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) Nº Total de Directorios: 7505 Nº Total de Ficheros: 82386 Nº de Ficheros Analizados: 12450 Nº de Ficheros Infectados: 3 Nº de Ficheros Limpiados: 3 * Exploitation du rapport : o la mention : Eliminado Bagle signifie que la composante du ver a bien été supprimée o la mention : Bagle Acceso Denegado signifie que l'accès à ce fichier est refusé, il n'a donc pas été supprimé o la mention : Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) signifie qu'il faut repasser l'outil pour en arriver à bout ! o Elibagla a la capacité de réparer la clé safeboot supprimer par bagle, si c'est le cas, la mention suivante apparait dans le rapport : Restaurada Clave: "SafeBoot\Minimal y Network" Remarque : il est très important de passer plusieurs fois Elibagla en mode normal, ainsi qu'en mode sans échec si possible afin d'essayer de supprimer le plus de fichiers infectés possible ! Dans notre exemple, Elibagla n'est pas arrivé à bout de l'infection du 1er coup, nous allons voir dans la suite comment d'autres outils peuvent venir compéter la suppression du ver Bagle.

Infecter par un bagle

Réponse 21 / 44

totobetourne Messages postés 5677 Statut Membre 65

je suis la vire combofix et retelecharge le (antivir te le signalera comme infecte tu ignores)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

mais renomme le en mdelk .coupe toi d internet arrete tes defences antivirus pare feu , etc....
lance le scan et colle le rapport obtenu.

Réponse 22 / 44

steftheouf Messages postés 36 Statut Membre 2

voici le rapport de combofix

ComboFix 09-01-21.04 - STEPHANE 2009-01-28 14:25:11.2 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.807 [GMT 1:00]
Lancé depuis: c:\documents and settings\STEPHANE\Bureau\mdelk.exe
FW: ZoneAlarm Firewall *enabled*
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\InfoSat.txt

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-28 au 2009-01-28 ))))))))))))))))))))))))))))))))))))
.

2009-01-27 11:28 . 2009-01-27 11:28 <REP> d-------- c:\program files\splus
2009-01-27 11:28 . 2005-10-17 18:13 447,488 --a------ c:\windows\system32\splus.cpl
2009-01-27 11:15 . 2009-01-27 11:16 <REP> d-------- C:\test
2009-01-27 11:06 . 2009-01-27 11:06 <REP> d-------- c:\program files\Trend Micro
2009-01-26 21:04 . 2009-01-26 21:15 <REP> d-------- c:\program files\Navilog1
2009-01-26 14:48 . 2009-01-26 14:48 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-01-26 14:46 . 2009-01-26 14:47 <REP> d-------- c:\documents and settings\Administrateur.SA-5C25DA80CB1A
2009-01-26 12:58 . 2009-01-26 13:09 <REP> d-------- c:\windows\BDOSCAN8
2009-01-25 19:11 . 2009-01-25 19:11 <REP> d-------- c:\program files\Panda Security
2009-01-23 16:04 . 2009-01-23 16:04 <REP> d-------- c:\documents and settings\STEPHANE\Application Data\Babylon
2009-01-23 16:04 . 2009-01-23 16:04 <REP> d-------- c:\documents and settings\All Users\Application Data\Babylon
2009-01-23 13:16 . 2009-01-23 13:16 54,156 --ah----- c:\windows\QTFont.qfn
2009-01-23 13:16 . 2009-01-23 13:16 1,409 --a------ c:\windows\QTFont.for
2009-01-23 12:31 . 2009-01-23 12:31 <REP> d-------- c:\program files\RocketDock
2009-01-23 08:46 . 2009-01-23 08:49 <REP> d-------- c:\program files\Fichiers communs\Autodesk Shared
2009-01-23 08:46 . 2009-01-23 08:48 <REP> d-------- c:\program files\AutoCAD 2009
2009-01-23 08:46 . 2009-01-23 08:53 <REP> d-------- c:\documents and settings\STEPHANE\Application Data\Autodesk
2009-01-23 08:46 . 2009-01-23 08:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Autodesk
2009-01-23 08:45 . 2007-07-19 18:14 3,727,720 --a------ c:\windows\system32\d3dx9_35.dll
2009-01-23 08:43 . 2009-01-23 08:43 <REP> d-------- c:\program files\MSBuild
2009-01-23 08:40 . 2009-01-23 08:44 <REP> d-------- c:\windows\system32\XPSViewer
2009-01-23 08:39 . 2009-01-23 08:39 <REP> d-------- c:\program files\Reference Assemblies
2009-01-23 08:39 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2009-01-22 17:30 . 2009-01-22 17:30 <REP> d-------- c:\documents and settings\All Users\Application Data\ALM
2009-01-22 17:04 . 2009-01-22 17:04 <REP> d-------- c:\program files\Bonjour
2009-01-22 16:57 . 2009-01-22 16:57 <REP> d-------- c:\program files\Fichiers communs\Macrovision Shared
2009-01-21 17:40 . 2009-01-21 17:40 <REP> d-------- c:\documents and settings\All Users\Application Data\FLEXnet
2009-01-21 17:26 . 2007-02-20 16:04 2,463,976 --a------ c:\windows\system32\NPSWF32.dll
2009-01-21 17:26 . 2007-02-20 16:04 190,696 --a------ c:\windows\system32\NPSWF32_FlashUtil.exe
2009-01-21 17:02 . 2009-01-22 17:33 <REP> d-------- c:\program files\Fichiers communs\Adobe
2009-01-20 09:52 . 2009-01-20 14:53 <REP> d-------- c:\documents and settings\STEPHANE\Application Data\gtk-2.0
2009-01-20 09:52 . 2009-01-20 09:52 <REP> d-------- c:\documents and settings\STEPHANE\.thumbnails
2009-01-20 09:50 . 2009-01-20 14:57 <REP> d-------- c:\documents and settings\STEPHANE\.gimp-2.6
2009-01-20 09:50 . 2009-01-20 09:50 <REP> d-------- c:\documents and settings\STEPHANE\.gegl-0.0
2009-01-20 09:49 . 2009-01-20 09:49 <REP> d-------- c:\program files\GIMP-2.0
2009-01-20 09:14 . 2009-01-20 09:14 <REP> d-------- c:\documents and settings\STEPHANE\Application Data\Thunderbird
2009-01-19 17:16 . 2009-01-19 17:16 <REP> d-------- c:\documents and settings\STEPHANE\Application Data\Apple Computer
2009-01-19 17:12 . 2009-01-19 17:12 <REP> d-------- c:\program files\QuickTime
2009-01-19 17:12 . 2009-01-19 17:12 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
2009-01-19 17:11 . 2009-01-19 17:11 <REP> d-------- c:\program files\Apple Software Update
2009-01-19 17:11 . 2009-01-19 17:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple
2009-01-19 17:09 . 2009-01-19 17:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Abvent
2009-01-19 17:08 . 2009-01-19 17:09 <REP> d-------- c:\documents and settings\STEPHANE\Application Data\Abvent
2009-01-19 17:05 . 2009-01-19 17:08 <REP> d-------- c:\program files\Artlantis Studio
2009-01-19 16:25 . 2009-01-19 16:25 <REP> d-------- c:\program files\Google
2009-01-19 16:25 . 2007-10-16 07:55 644,400 --a------ c:\windows\system32\MSCOMCT2.OCX
2009-01-19 16:23 . 2009-01-19 16:23 <REP> d-------- c:\program files\LaBoiteACouleurs
2009-01-19 16:20 . 2009-01-19 16:20 <REP> d-------- c:\program files\FileZilla
2009-01-17 12:23 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-01-17 12:23 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2009-01-17 11:34 . 2009-01-23 17:17 <REP> d-------- c:\program files\eMule
2009-01-16 20:17 . 2009-01-28 14:20 <REP> d-------- c:\documents and settings\STEPHANE\Tracing
2009-01-16 20:16 . 2009-01-16 20:16 <REP> d-------- c:\program files\Windows Live SkyDrive
2009-01-16 20:16 . 2009-01-16 20:16 <REP> d-------- c:\program files\Microsoft
2009-01-16 20:11 . 2009-01-16 20:11 <REP> d-------- c:\program files\Fichiers communs\Windows Live
2009-01-16 16:17 . 2009-01-16 16:17 <REP> d-------- c:\program files\TeaTimer (Spybot - Search & Destroy)
2009-01-16 16:17 . 2009-01-16 16:17 <REP> d-------- c:\program files\SDHelper (Spybot - Search & Destroy)
2009-01-16 16:17 . 2009-01-16 16:17 <REP> d-------- c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2009-01-16 16:17 . 2009-01-16 16:17 <REP> d-------- c:\program files\File Scanner Library (Spybot - Search & Destroy)
2009-01-16 15:56 . 2009-01-23 17:14 9,719,840 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-01-16 15:56 . 2009-01-23 17:14 117,068 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-01-16 15:53 . 2009-01-16 15:53 <REP> d-------- c:\documents and settings\All Users\Application Data\MailFrontier
2009-01-16 15:53 . 2008-07-09 09:05 54,672 --a------ c:\windows\system32\vsutil_loc040c.dll
2009-01-16 15:53 . 2008-07-09 09:05 42,384 --a------ c:\windows\zllsputility_loc040c.dll
2009-01-16 15:53 . 2008-07-09 09:05 21,904 --a------ c:\windows\system32\imsinstall_loc040c.dll
2009-01-16 15:53 . 2008-07-09 09:05 17,808 --a------ c:\windows\system32\imslsp_install_loc040c.dll
2009-01-16 15:53 . 2009-01-16 15:54 4,212 ---h----- c:\windows\system32\zllictbl.dat
2009-01-16 15:52 . 2009-01-16 15:52 <REP> d-------- c:\program files\Zone Labs
2009-01-16 15:51 . 2009-01-23 16:12 <REP> d-------- c:\windows\Internet Logs
2009-01-15 23:56 . 2009-01-15 23:56 151 --a------ c:\windows\PhotoSnapViewer.INI
2009-01-15 23:52 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-15 23:52 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-15 23:52 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-15 23:52 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-15 23:52 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-01-15 23:52 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-01-15 23:52 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-15 23:52 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-01-15 23:52 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-01-03 18:30 . 2009-01-16 15:04 <REP> d-------- c:\program files\SFR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-28 12:10 --------- d-----w c:\documents and settings\STEPHANE\Application Data\OpenOffice.org2
2009-01-26 20:02 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-26 20:01 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-01-23 14:37 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-16 19:15 --------- d-----w c:\program files\Windows Live
2008-12-18 10:19 --------- d-----w c:\documents and settings\STEPHANE\Application Data\Canon
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-02 21:37 49,480 ----a-w c:\windows\system32\sirenacm.dll
2008-12-01 17:37 --------- dc----w c:\program files\Fichiers communs\WindowsLiveInstaller
2008-12-01 17:37 --------- d-----w c:\program files\Mozilla Firefox(2)
2008-12-01 17:37 --------- d-----w c:\documents and settings\STEPHANE\Application Data\Mozilla(2)
2008-12-01 17:37 --------- d-----w c:\documents and settings\STEPHANE\Application Data\dvdcss
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 94208]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Neuf Media Center"="c:\program files\SFR\Media Center\MediaCenter.exe" [2008-10-10 726336]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-03-21 1953792]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2009-01-26 919016]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-06-29 286720]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"Adobe_ID0EYTHM"="c:\progra~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872]
Lancement rapide d'Adobe Acrobat.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2009-01-22 295606]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-05-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\program files\SFR\Media Center\httpd\httpd.exe"= c:\program files\SFR\Media Center\httpd\httpd.exe:172.16.255.0/255.255.255.0,192.168.1.0/255.255.255.0:Enabled:Serveur de partage Media Center (Player SFR)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [2008-09-11 176128]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab5d1441-7f53-11dd-8e26-806d6172696f}]
\Shell\AutoRun\command - E:\setup.exe
.
Contenu du dossier 'Tâches planifiées'

2009-01-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 13:42]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.ustart.org
mStart Page = hxxp://www.ustart.org
uInternet Settings,ProxyOverride = *.local
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\STEPHANE\Application Data\Mozilla\Firefox\Profiles\9mjr2xhi.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-28 14:28:51
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-01-28 14:33:37
ComboFix-quarantined-files.txt 2009-01-28 13:33:35
ComboFix2.txt 2009-01-26 13:44:07

Avant-CF: 133,875,965,952 octets libres
Après-CF: 133,861,126,144 octets libres

199 --- E O F --- 2009-01-20 08:02:15

Réponse 23 / 44

steftheouf Messages postés 36 Statut Membre 2

svp
je peux pas utiliser internet avec ce pc
et j'en ai besoin pour mon boulot

Réponse 24 / 44

totobetourne Messages postés 5677 Statut Membre 65

findy kill est revnu je crois bien reessaye avec ce programme.

Réponse 25 / 44

steftheouf Messages postés 36 Statut Membre 2

voila le rapport
Désolé pour le retard (environ 2semaine) mais je suis parti en déplacement...

############################## [ FindyKill V4.716 ]

# User : STEPHANE (Administrateurs) # SA-5C25DA80CB1A
# Update on 10/02/09 by Chiquitine29
# Start at: 12:35:46 | 17/02/2009

# Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# C:\ # Disque fixe local # NTFS
# D:\ # Disque fixe local # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SFR\Media Center\MediaCenter.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\SFR\Media Center\httpd\httpd.exe
C:\Program Files\SFR\Media Center\httpd\httpd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers / Dossiers infectieux C:\ ]

################## [ C:\WINDOWS ]

################## [ C:\WINDOWS\Prefetch ]

Found ! - C:\WINDOWS\prefetch\FLEC006.EXE-2B119FFA.pf

################## [ C:\WINDOWS\system32 ]

################## [ C:\WINDOWS\system32\drivers ]

################## [ C:\Documents and Settings\STEPHANE\Application Data ]

################## [ C:\DOCUME~1\STEPHANE\LOCALS~1\Temp ]

################## [ Registre / Clés infectieuses ]

Found ! - HKEY_USERS\S-1-5-21-1060284298-2111687655-725345543-1004\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S

################## [ Etat / Services ]

# Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio # Type de démarrage = 4

EapHost # Type de démarrage = 3

Ip6Fw # Type de démarrage = 4

SharedAccess # Type de démarrage = 2

wuauserv # Type de démarrage = 2

wscsvc # Type de démarrage = 2

################## [ Recherche dans supports amovibles]

# presence des fichiers :

Found ! [26/01/2009 20:35][drahs----] - C:\autorun.inf
C:\autorun.inf - This folder was created by flash disinfector !
Found ! [26/01/2009 20:35][drahs----] - D:\autorun.inf
D:\autorun.inf - This folder was created by flash disinfector !

################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.716 ! ]

Réponse 26 / 44

totobetourne Messages postés 5677 Statut Membre 65

Réouvre FindyKill , choisi cette fois ci l option 2 (Suppression)

/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage terminé"

-------> ensuite post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

Réponse 27 / 44

steftheouf Messages postés 36 Statut Membre 2

merci de m'avoir répondu
je t'envoie ça tout de suite

Réponse 28 / 44

steftheouf Messages postés 36 Statut Membre 2

voila le nouveau rapport:

############################## [ FindyKill V4.716 ]

# User : STEPHANE (Administrateurs) # SA-5C25DA80CB1A
# Update on 10/02/09 by Chiquitine29
# Start at: 13:58:56 | 17/02/2009

# Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# C:\ # Disque fixe local # NTFS
# D:\ # Disque fixe local # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## [ Infected Files / Folders C:\ ]

################## [ C:\WINDOWS ]

################## [ C:\WINDOWS\Prefetch ]

Deleted ! - C:\WINDOWS\prefetch\FLEC006.EXE-2B119FFA.pf
Deleted ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-3484E3B9.pf

################## [ C:\WINDOWS\system32 ]

################## [ C:\WINDOWS\system32\drivers ]

################## [ C:\Documents and Settings\STEPHANE\Application Data ]

################## [ Cleaning Temp Files... ]

################## [ Registry / Infected keys ]

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_USERS\S-1-5-21-1060284298-2111687655-725345543-1004\Software\Local AppWizard-Generated Applications\winupgro

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio # Type of startup = 3

EapHost # Type of startup = 2

Ip6Fw # Type of startup = 2

SharedAccess # Type of startup = 2

wuauserv # Type of startup = 2

wscsvc # Type of startup = 2

################## [ Cleaning Removable drives ]

# Deleting files :

Not deleted !! - C:\autorun.inf
Not deleted !! - D:\autorun.inf

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ Searching Other Infections ]

# -> Nothing found ! ..

################## [ ! End of Report # FindyKill V4.716 ! ]

Réponse 29 / 44

^^Marie^^ Messages postés 41884 Date d'inscription Statut Membre Dernière intervention 3 279

Bonjour tout le monde ;))

Pour suivre

steftheouf continue ici -- merci

++

Réponse 30 / 44

totobetourne Messages postés 5677 Statut Membre 65

bonjour marie.

continue ici, pourquoi?il est volage.

^^Marie^^ Messages postés 41884 Date d'inscription Statut Membre Dernière intervention 3 279

Lu

;))

Réponse 31 / 44

steftheouf Messages postés 36 Statut Membre 2

salut,

désolé d'avoir posté une autre question mais je pense que c'est un autre sujet.
En effet, depuis mon souci de "bagle" je n'arrive plus a désinstaller Zone alarm et ma connexion a internet se bloque au bout de 15 min environ. Alors je pense que ca vient du logiciel qui a été modifié et qui est devenu défectueux, ce qui bloque ma connexion. Enfin je pense que ceci est un autre problème voila pourquoi je l'ai posté ailleurs.

Si mon erreur vous a énervé je m'en excuse (je ne crois pas qu'on puisse dire de moi que je suis "volage").
J'aimerai tout de même qu'on m'aide encore un petit peu parce que ce n'est pas encore réparé tout ça.

En vous remerciant d'avance...

Réponse 32 / 44

totobetourne Messages postés 5677 Statut Membre 65

si marie a une autre idee.

essaye de desinstaller avec revo uninstaller.
www.commentcamarche.net/telecharger/telecharger-34055245-revo-uninstaller

Réponse 33 / 44

steftheouf Messages postés 36 Statut Membre 2

re-salut

ca ne marche pas...
le logiciel ne trouve même pas le programme Zone Alarm et si je veux l'effacer définitivement manuellement, il me laisse deux fichiers .dll IMPOSSIBLE a effacer.
Le problème perciste toujours et je suis despéré.
Aidez moi svp
merci

Réponse 34 / 44

totobetourne Messages postés 5677 Statut Membre 65

quels sont les fichiers restant?

Réponse 35 / 44

steftheouf Messages postés 36 Statut Membre 2

les fichiers retant ont pour noms:

zlavscan.dll
zlavscan_loc040c.dll

Réponse 36 / 44

totobetourne Messages postés 5677 Statut Membre 65

A)
pour enlever les fichiers temporaires

a passer tout les 15 jours a peu pres.

• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner

• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language
et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées

B)
1)Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

2)Une fois téléchargé double-clique sur OTMoveIt3.exe pour le lancer.

Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

3)puis copie les lignes en gras qui se trouvent en dessous :

:processes
explorer.exe

:files
zlavscan.dll
zlavscan_loc040c.dll

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]

et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move."
clique sur move it pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
4) Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

5) Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même )

/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître , dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau.

Réponse 37 / 44

steftheouf Messages postés 36 Statut Membre 2

voila je te poste le rapport:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder zlavscan.dll not found.
File/Folder zlavscan_loc040c.dll not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\STEPHANE\LOCALS~1\Temp\etilqs_VeFSb9rPe315tbvkohAh scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\STEPHANE\Local Settings\Application Data\Mozilla\Firefox\Profiles\9mjr2xhi.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\STEPHANE\Local Settings\Application Data\Mozilla\Firefox\Profiles\9mjr2xhi.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\STEPHANE\Local Settings\Application Data\Mozilla\Firefox\Profiles\9mjr2xhi.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\STEPHANE\Local Settings\Application Data\Mozilla\Firefox\Profiles\9mjr2xhi.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\STEPHANE\Local Settings\Application Data\Mozilla\Firefox\Profiles\9mjr2xhi.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\STEPHANE\Local Settings\Application Data\Mozilla\Firefox\Profiles\9mjr2xhi.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02192009_140028

Réponse 38 / 44

totobetourne Messages postés 5677 Statut Membre 65

refais pareil mais tape juste cela.

:files
zlavscan.dll
zlavscan_loc040c.dll

Utilisateur anonyme

Hello
Si tu ne mets pas le chemin d'accès des fichiers cela ne marchera pas ;)

++

Réponse 39 / 44

totobetourne Messages postés 5677 Statut Membre 65

merci de m eclairer(je n avai pas fait attention).je dois refaire comme indique dans le premier cas avec arret d explorer.exe ou plus comme le second avec juste les fichiers a elimines.(C-XX)

donne moi le chemin complet du fichier(sptehouf).

Réponse 40 / 44

Utilisateur anonyme

Re,

Juste les fichiers, cela devrais marcher.

Le script devrais être ceci :

:files
%programfiles%\Zone Labs

( on supprime carrément le dossier )

++

Infecter par un bagle

44 réponses

Votre réponse

Discussions similaires

Newsletters