Sujet Précédent Sujet Suivant

Infection Bagle win32 invalide HELP !!!

Fermé
adre25 - 9 févr. 2009 à 12:36
 adre25 - 9 févr. 2009 à 13:02
Bonjour,
comme bcp, g attrapé le fameux bagle qui bloque les antivirus (win 32 invalide)
G exécuté Findykill dont voici le rapport :


###################### [ FindyKill V4.715 ]

# User : Alain - SN012345678912
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours 29/01/09 par Chiquitine29
# Recherche effectuée à 12:32:07 le 09/02/2009
# Windows XP - Internet Explorer 7.0.5730.11

# [ FindyKill V4.715 - Scan ] ##############

\\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\LaCie\Backup Software\LaCieBackup.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\PowerArchiver\PAStarter.EXE
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Documents and Settings\Alain\Application Data\drivers\winupgro.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\OFFICE One6.5\OFFICE One Clock\ooneclockv65.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\OFFICE One6.5\OFFICE One Notes\oonotesv65.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\OFFICE One6.5\program\soffice.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Avant Browser\avant.exe
C:\Documents and Settings\Alain\Application Data\m\flec006.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\wintems.exe

\\\\\\\\\\\\\\\\\\ [ Processus infectieux stoppés ] ///////////////////


"C:\Documents and Settings\Alain\Application Data\drivers\winupgro.exe" (2300)
"C:\Documents and Settings\Alain\Application Data\m\flec006.exe" (3456)
"C:\WINDOWS\system32\wintems.exe" (2944)


\\\\\\\\\\\\\\\\\\ [ Fichiers/Dossiers infectieux ] ///////////////////


################## [ C:\ ]

Found ! [09/02/2009 12:18] - "C:\Muestras"
Found ! [09/02/2009 12:19] - C:\InfoSat.txt

################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\Prefetch ]

Found ! - C:\WINDOWS\prefetch\1008437.EXE-0DE4F763.pf
Found ! - C:\WINDOWS\prefetch\1014718.EXE-29B2D776.pf
Found ! - C:\WINDOWS\prefetch\1045859.EXE-312F243D.pf
Found ! - C:\WINDOWS\prefetch\1125109.EXE-0C9D5FF2.pf
Found ! - C:\WINDOWS\prefetch\1130328.EXE-0CC51A63.pf
Found ! - C:\WINDOWS\prefetch\207984.EXE-256AA8DB.pf
Found ! - C:\WINDOWS\prefetch\214156.EXE-0D3604E8.pf
Found ! - C:\WINDOWS\prefetch\257750.EXE-377D8743.pf
Found ! - C:\WINDOWS\prefetch\303312.EXE-32ADD389.pf
Found ! - C:\WINDOWS\prefetch\372968.EXE-0E3477BA.pf
Found ! - C:\WINDOWS\prefetch\930093.EXE-1C772664.pf
Found ! - C:\WINDOWS\prefetch\FLEC006.EXE-2A63512F.pf
Found ! - C:\WINDOWS\prefetch\WINTEMS.EXE-377E42D4.pf

################## [ C:\WINDOWS\system32 ]

Found ! [09/02/2009 12:25] - C:\WINDOWS\system32\mdelk.exe
Found ! [09/02/2009 12:25] - C:\WINDOWS\system32\wintems.exe
Found ! [09/02/2009 12:26] - C:\WINDOWS\system32\ban_list.txt

################## [ C:\WINDOWS\system32\drivers ]


################## [ C:\Documents and Settings\Alain\Application Data ]

Found ! [09/02/2009 12:12] - "C:\Documents and Settings\Alain\Application Data\m\flec006.exe"
Found ! [09/02/2009 12:14] - "C:\Documents and Settings\Alain\Application Data\m\shared"
Found ! [09/02/2009 12:18] - "C:\Documents and Settings\Alain\Application Data\m"
Found ! [09/02/2009 12:18] - "C:\Documents and Settings\Alain\Application Data\drivers"
Found ! [09/02/2009 12:10] - "C:\Documents and Settings\Alain\Application Data\drivers\wfsintwq.sys"
Found ! [05/02/2006 03:01] - "C:\Documents and Settings\Alain\Application Data\drivers\winupgro.exe"
Found ! [09/02/2009 12:26] - "C:\Documents and Settings\Alain\Application Data\drivers\downld"

################## [ C:\DOCUME~1\Alain\LOCALS~1\Temp ]


\\\\\\\\\\\\\\\\\\ [ Registre / Startup ] ///////////////////

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
SmpcSys=C:\APPS\SMP\SmpSys.exe
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
MessengerPlus3="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
LaCie Backup=C:\Program Files\LaCie\Backup Software\\LaCieBackup.exe /background
RocketDock="C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
PowerArchiver Tray=C:\Program Files\PowerArchiver\PAStarter.EXE
SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
ehTray=C:\WINDOWS\ehome\ehtray.exe
Raccourci vers la page des propriétés de High Definition Audio=HDAShCut.exe
SMSERIAL=C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz=nwiz.exe /install
NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HControl=C:\WINDOWS\ATK0100\HControl.exe
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
DetectorApp=C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
ISUSPM Startup=C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
ISUSScheduler="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
Ad-aware=C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe +c
EPSON PictureMate 100=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAKE.EXE /F "C:\WINDOWS\TEMP\E_S166.tmp" /EF "HKLM"
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
IntelZeroConfig="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
IntelWireless="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
OoPDFSettingsv6.exe=C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1

[HKEY_CURRENT_USER\software\local appwizard-generated applications\run]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\SmpSys]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

\\\\\\\\\\\\\\\\\\ [ Registre / Clés infectieuses ] ///////////////////


Found ! - HKEY_USERS\S-1-5-21-3827332463-3573811099-851396786-1005\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-3827332463-3573811099-851396786-1005\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-3827332463-3573811099-851396786-1005\Software\FirtR
Found ! - HKEY_USERS\S-1-5-21-3827332463-3573811099-851396786-1005\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - HKEY_CURRENT_USER\Software\FirtR
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | german.exe
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | mule_st_key

/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
/!\ Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

\\\\\\\\\\\\\\\\\\ [ Etat / Services ] ///////////////////

# Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

/!\ Mode sans echec non fonctionnel !!

# Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

/!\ Mode sans echec non fonctionnel !!

# Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

/!\ Mode sans echec non fonctionnel !!


# Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

/!\ Ndisuio - # Type de démarrage = 4

EapHost - # Type de démarrage = 3

/!\ Ip6Fw - # Type de démarrage = 4

SharedAccess - # Type de démarrage = 2

wuauserv - # Type de démarrage = 2

/!\ wscsvc - # Type de démarrage = 4


\\\\\\\\\\\\\\\\\\ [ Recherche dans supports amovibles] ///////////////////


# Informations :

C: - Lecteur fixe

D: - Lecteur de CD-ROM


# presence des fichiers :



\\\\\\\\\\\\\\\\\\ [ Registre / Mountpoint2 ] ///////////////////


-> Not found !


################## [ ! Fin du rapport # FindyKill V4.715 ! ]

Y a t il un expert qui puisse me dire si je peux passer à la 2° étape ( nettoyage) sans risques! Merci

2 réponses

Réponse 1 / 2
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 229
9 févr. 2009 à 12:39
Bonjour

Important :

Branche toutes tes unités externes au PC ( DD externes, clé USB, lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manip ...


Ferme toutes les applications en cours !

Relance FindyKill :

-> choisis cette fois-ci l'option 2 (suppression).

/!\ ton PC va redémarrer de lui même , c'est normal !... Laisse travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .

Note : lors du message d'avertissement , clique sur " Ok " .

--> Poste le nouveau rapport FindyKill.txt qui est généré.

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )


PS : Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valide .
1
adre25
9 févr. 2009 à 12:44
2 questions : pourqoui branché ts les périph?
Pas de risques de passer à l'étape 2 : pas de risques d'effacer des fichiers nécéssaires? Merci
0
adre25
9 févr. 2009 à 13:02
Ok, je m'y m'est ! Merci bcp !!
0
Réponse 2 / 2
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 229
9 févr. 2009 à 12:59
Parce que l'infection peut se trouver également sur les périph
Aucun danger, le Fix ne supprimera que les fichiers infectés.
0

Discussions similaires

Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
problème reconnaissance url liste iptv avec smartiptv
jo56jo -
Farid43 -

8 réponses
Erreur REFCB : OS 1_1_111111_Longueur IBAN invalide.
maSERA -
oui -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Atlas pro
Ouzo -
bazfile -

1 réponse