Sujet Précédent Sujet Suivant

Infection Bagle

tarmac-blues Messages postés 9 Statut Membre -  
tarmac-blues Messages postés 9 Statut Membre -
Bonjour,

OS : Windows XP pro SP2
Antivirus : Antivir premium

J'ai eu une infection parle virus Bagle sous une variante apparemment inconnue (introuvable sur les forum ou bases de virus) dénommée "Win32.worm.bagle.ZNG".

J'avais pourtant pris la précaution de scanner au préalable l'exécutable contenant le virus avec Antivir mais il n'a rien détecté. Au contraire le virus a neutralisé Antivir alors que l'accès à Antivir était protégé par un password de 12 caractères alphanumériques théoriquement difficile à craquer.

Pour me débarrasser de la bestiole j'ai successivement déroulé

- un scan on line Kaspersky
- un scan BitDefender
- Elibagla
- Combofix
- Hijackthis
- Malwarebytes
- Findykill

Ces différentes interventions ont permis d'éradiquer le virus, de libérer la RAM occupée à 100% et de faire refonctionner certains programmes qui se refermaient aussitôt après leur lancement comme CCcleaner.

Mais il est impossible de démarrer Antivir ou certain autres patches antivirus. J'ai le message "...n'est pas une application win32 valide" alors que tous les softs cités ci-dessus indiquent qu'il n'y a plus rien de suspect. Idem avec un deuxième scan Kaspersky.

Là je sèche. Quelqu'un aurait-il une idée sinon je ne vois rien d'autre à faire qu'un formatage de C et un rechargement de Windows ?

Merci d'avance

8 réponses

Réponse 1 / 8
Utilisateur anonyme
 
as tu essyaer de desinstaller et reinstaller antivir ?
1
tarmac-blues Messages postés 9 Statut Membre
 
Non. C'est une idée. je fais.
0
Réponse 2 / 8
Qc001 Messages postés 256 Statut Membre 17
 
Merci pour ces rapports :)

Bon, je ne vois pas de trace d'une nouvelle variante. Par contre, tu as passé ComboFix 3 fois au total et je me demande ce que les 2 passes précédentes ont bien pu faire ; possible que l'outil n'ait pu tourner jusqu'au bout car je ne vois pas de traces de rapports antérieurs sauvegardés. Je vais tout de même te demander de regarder, puis de copier/coller les rapports s'ils existent (dans l'ordre). C'est par là >>

C:\Qoobox\ComboFix3.txt
et...
C:\Qoobox\ComboFix2.txt

==================

Ensuite... Désinstalle AntiVir Premium via le Panneau de config (Ajout/Suppression de programmes). Si tu as une clé valide et légitime pour AntiVir, réinstalle le programme et fait une analyse complète. S'il s'agit d'une version crackée, vire l'installateur et procure-toi la version gratuite (franco) du lien suivant :
http://dlce.antivir.com/down/windows/antivir_workstation_winu_fr_h.exe

Installe-le, fais sa mise à jour puis fais une analyse complète. Poste le rapport ici, s'il te plaît.

~~~~~~~~~~~~~

Si une nouvelle variante est présente, le réinfecteur n'a pas été identifié dans les rapports fournis ; AntiVir ne pourra être réinstallé (pour l'instant - tu auras droit à une erreur "... n'est pas une application Win32 valide") et il faudra investiguer.

@+
1
Réponse 3 / 8
Qc001 Messages postés 256 Statut Membre 17
 
Bonjour tarmac-blues ;

L'infection arrive seule, d'habitude, contrairement à d'autres grosses infections. Elle transforme la machine en "zombie" et la met sur un réseau bien organisé nommé Botnet, qui relie des centaines de milliers de PC infectés. Contrôlées à distance, les machines du Botnet Bagle peuvent spammer, attaquer des cibles définies par l'opérateur ou encore distribuer des fichiers infectés à grande échelle. L'infection existe depuis quelques années, mais plusieurs variantes se sont succédées ; depuis un bout, on en voit 3-4 nouvelles par an. Cela dit, les antivirus doivent être mis à jour pour chaque nouvelle variante, tout comme les outils de désinfection.

Quand je regarde tes rapports, je vois une trace de Vundo ; Vundo n'arrive jamais seul et on le voit souvent avec un rootkit d'une famille autre que Bagle ; ComboFix a sûrement fait un gros ménage de ce côté, ce qui explique la quantité de fichiers qu'il a détruit. AntiVir était possiblement détraqué lorsque le fichier contenant Bagle a été analysé, car il connait bien la présente variante de Bagle et ne l'aurait pas laisser entrer. Ta méthode de scanner un fichier "douteux" avec l'antivirus, après téléchargement, n'est de toute façon pas infaillible. Toute infection nouvelle n'est pas détectée avant mise à jour des antivirus ; ça peut prendre quelques jours ou même plus, selon l'antivirus. Si je regarde Avast! : il ne voit toujours pas ce Bagle qui a pourtant plus de deux mois maintenant... Les cracks/keygens/serials sont dangereux, point barre.
===============

Là on ne voit pas le réinfecteur que Bagle installe et c'est probablement ComboFix qui l'a viré lors d'une passe antérieure. Ce réinfecteur cible un processus légitime qui se lance au démarrage de Windows ; ce programme affichera une erreur par la suite car son exécutable n'y est plus. Tu devras réinstaller ce programme lorsque tu l'auras identifié. Lequel ? Tu verras. Lors de mes essais et d'après ce que je vois sur les forums, ça peut être tout programme lancé au démarrage, tel Messenger (Live/MSN), Google Updater, Quick Time, etc... donc ne sois pas surpris (ni inquiet).

================
================

On va te faire un 'tit ménage. FindyKill et ComboFix sont puissants et mis à jour régulièrement ; il ne faut pas les conserver :

Désinstallation de FindyKill : lance-le et choisis l'option #3.

Désinstallation de ComboFix : bouton "Démarrer" >> "Exécuter..." puis tape ceci dans la boîte:

ComboFix /u
(**Note qu'il y a un espace entre "ComboFix" et "/u")
- Valide avec Ok. C'est rapide (15 secondes ou moins).

~~~~~~~~~~~~~~~~~~~~~~~~~

Ta version de Java est très ancienne et contient des failles de sécurité importantes. Va dans le Panneau de Config, Ajout/Suppression de programmes, puis désinstalle/supprime ceci :

J2SE Runtime Environment 5.0 Update 8

**S'il y a d'autres anciennes présentes dans la liste, supprime-les aussi.

La nouvelle version se trouve ici :
https://www.java.com/fr/download/manual.jsp
(tu prends la seconde pour Windows >> "Hors ligne")

~~~~~~~~~~~~~~~~~~~~~~~~~

On voit des traces d'Avast!, d'une désinstallation incomplète. Tu peux passer l'outil de désinstallation :
https://www.avast.com/fr-fr/uninstall-utility

~~~~~~~~~~~~~~~~~~~~~~~~~

Dernier point : la navigateur Netscape est-il toujours en fonction sur ta bécane ? Si j'ai oublié d'autres trucs, je te ferai signe.

@+
1
tarmac-blues Messages postés 9 Statut Membre
 
Quel boulot ! Tes journées sont-elles de 36 ou 48 heures ? effectivement, il y avait un programme corrompu au démarrage de Windows : Rainlendar (détecté tout au début par un scan on-line je crois) que j'ai scratché et réinstallé.

Je vais suivre scrupuleusement tes indications pour ComboFix, Findykill et Java. J'ai eu Avast antérieurement, donc apparemment Ccleaner n'a pas tout effacé. Je n'ai jamais utilisé Netscape donc je vais virer ce que vais trouver sur le disque et dans le registre.

Pour la petite histoire, je n'ai pas essayé de charger un keygen ou autre crack. En fait, je cherchai des ..vêtements pour des personnages de Poser. D'après le libellé du zip que j'avais téléchargé, c'était une compil utilisateur free. Je me suis fait avoir en beauté.

Merci encore pour ce travail d'analyse. A ta disposition si je peux être utile d'un manière ou d'une autre

Bonne journée
0
Réponse 4 / 8
moua
 
Je crois que QC001 t'a conseillé de ne pas suivre deux procedures:

https://forum.zebulon.fr/topic/161038-bagle-variante-inconnue/?tab=comments#comment-1365514

Tu monopoliserais plusieurs helpers, et cela pourrait te jouer de mauvais tours!
Bagle n'est pas un enfant de coeur.

Tu ne réussiras jamais à réinstaller quelque protection que ce soit avec Bagle non-éradiqué.

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Qc001 Messages postés 256 Statut Membre 17
 
Merci moua ;)

tarmac-blues : que tu postes ici ou sur Zeb, ça importe peu mais ne va pas ailleurs, stp. Si tu reçois déjà de l'aide sur un autre forum, dis-le tout de suite sinon tu cours des risques. Sans parler des efforts en double/triple totalement inutiles.

Si AntiVir était à jour et actif, il est bien possible que ce soit une nouvelle variante (le temps était venu, de toute façon). Si le rootkit est toujours actif, la réinstallation d'AntiVir échouera. Pas grave.
S'il s'agit bien d'une nouvelle variante, il serait intéressant d'obtenir ta coopération afin de la cibler et de remonter les fichiers nécessaires à la mise à jour des outils. On t'aide, tu nous aides, parfait bonheur quoi :)

Juste sur un forum, sinon c'est le bordel pour tout le monde (toi compris).

@+
0
Réponse 6 / 8
tarmac-blues Messages postés 9 Statut Membre
 
A QC001 et moua

Merci de vos réponses. Je comprends bien votre position sur les multiples posts. J'ai fait ça simplement parce que dans d'autres problèmes que j'ai eus, la solution est parfois venue de plusieurs sources et aussi parce que parfois on n'a simplement aucune réponse.

Celà étant dit je vais suivre vos indications et me cantonner à CCM. Donc voici dans l'ordre les rapports
- Combofix
- Findykill
- Malwarebytes

Pour Malware, je ne mets que le rapport qui a détecté quelque chose. Le dernier rapport indique qu'il n'a rien trouvé

Merci à vous
=======================================================================
ComboFix 09-03-23.01 - Administrateur 2009-03-24 23:14:07.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2047.1738 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\kill.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\drivers\downld
c:\documents and settings\Administrateur\Application Data\drivers\downld\103984.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\105828.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\106343.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\14885140.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\14885359.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\14895171.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\14896781.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\14897218.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15060500.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15060718.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15068046.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15069921.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15073250.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15100718.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15101375.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15104546.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15105218.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15107968.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15108671.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15115890.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15117125.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15117593.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15122421.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15122937.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15122953.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15220406.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15220593.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15289421.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15290484.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15290718.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15312875.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15313390.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15313468.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15313859.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\15314562.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\181906.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\182453.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\190015.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\190218.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\197234.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\200468.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\200640.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\200734.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\201078.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\201265.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\202546.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\202859.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\203156.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\208656.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\210921.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\212000.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\212281.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\212500.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\214218.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\217796.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\225281.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\225859.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\225875.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\229000.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\230328.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\232671.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\233328.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\239265.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\240562.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\241031.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\247531.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\247984.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\259734.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\260406.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\261140.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\280031.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\280328.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\280343.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\308562.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\309156.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\312562.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\313218.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\314812.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\315125.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\317859.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\319609.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\329750.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\333484.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\334906.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\335171.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\336312.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\337156.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\345640.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\347203.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\347218.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\348781.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\349671.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\349906.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\358937.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\359781.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\359875.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\363125.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\363593.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\363953.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\364375.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\364421.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\364437.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\367171.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\368859.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\370562.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\371109.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\371234.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\371625.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\372625.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\387656.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\387937.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\390296.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\391921.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\394453.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\405281.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\405828.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\456468.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\457687.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\457921.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\482937.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\483343.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\483421.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\483812.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\484796.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\65578.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\66250.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\66265.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\70406.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\70968.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\71015.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\80640.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\84296.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\87109.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\87531.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\94312.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\94734.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\95640.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\97281.exe
c:\documents and settings\Administrateur\Application Data\drivers\downld\97859.exe
c:\documents and settings\Administrateur\Application Data\drivers\wfsintwq.sys
c:\documents and settings\Administrateur\Application Data\drivers\winupgro.exe
c:\documents and settings\Administrateur\Application Data\m
c:\documents and settings\Administrateur\Application Data\m\flec006.exe
c:\documents and settings\Administrateur\Application Data\m\shared\[Mobile Phone] (Games) (J2ME S60) Prince of persia - Sands of Time.zip
c:\documents and settings\Administrateur\Application Data\m\shared\[PS][SLPM-86357].Tokimeki.Memorial.2.(J).(AVG).(Konami).心跳回忆.2.C.zip
c:\documents and settings\Administrateur\Application Data\m\shared\123FTP-Free 3.2.zip
c:\documents and settings\Administrateur\Application Data\m\shared\2007 Planner 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Abilities Builder Math Facts 6.6.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Academic Game Maker & Player 2.2.zip
c:\documents and settings\Administrateur\Application Data\m\shared\AcePlanner 1.2.20 [Cracked].zip
c:\documents and settings\Administrateur\Application Data\m\shared\Active Directory Network Manager 2.1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Activity Time Tracker 1.3.0.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Age of Mythology The Ring of the Nibelungen campaign 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Air Warrior III D3D patch.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Alternative Radio 2.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Amazon Associate Toolbar 1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Amiasoft Color Pro 1.3.6.9 (Key+Serial).zip
c:\documents and settings\Administrateur\Application Data\m\shared\Antivir.Premium.Crack.zip
c:\documents and settings\Administrateur\Application Data\m\shared\AnyPortal Site Manager.zip
c:\documents and settings\Administrateur\Application Data\m\shared\ATSurround Processor for foobar2000 0.1.6a.zip
c:\documents and settings\Administrateur\Application Data\m\shared\AutoCal for Outlook 2007 1.04.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Backupawy 1.02.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Balanced Scorecard Designer 1.2.0.0 (With Crack).zip
c:\documents and settings\Administrateur\Application Data\m\shared\Battlefield Vietnam Operation Red Dragon Map.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Bible Plus 1.0 Cracked.zip
c:\documents and settings\Administrateur\Application Data\m\shared\BKS 3.2.4.30.zip
c:\documents and settings\Administrateur\Application Data\m\shared\BmdConcerto 1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Break Even Analysis 1.01 (Patch).zip
c:\documents and settings\Administrateur\Application Data\m\shared\Calendarscope 3.5 Beta [KeyGen].zip
c:\documents and settings\Administrateur\Application Data\m\shared\CCleaner Portable 2.14.763.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Convert OST 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Cool APE To MP3 WAV Converter 3.12.zip
c:\documents and settings\Administrateur\Application Data\m\shared\CoolCube Gospel & Religion 6.4.zip
c:\documents and settings\Administrateur\Application Data\m\shared\DirectoryTreePrinter 1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\DirectX Happy Uninstall 3.89.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Disk Space Usage 2.4 KeyGen.zip
c:\documents and settings\Administrateur\Application Data\m\shared\DMT SQL Decryptor 3.2.5.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\DVD Flick 1.3.0.0 Build 616 Beta.zip
c:\documents and settings\Administrateur\Application Data\m\shared\DVD to Pocket PC 4.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\E-Mage Server 0.6 beta.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Easy Audio CD Maker 2.0.2005.608.zip
c:\documents and settings\Administrateur\Application Data\m\shared\EasyBarcodelabelPro 1.21 (Serial).zip
c:\documents and settings\Administrateur\Application Data\m\shared\Effective File Search 4.1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\EmailSupervisor 1.2.zip
c:\documents and settings\Administrateur\Application Data\m\shared\eXMenu 3.0.0.2.7228 Crack.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Files Search Assistant 1.2.5.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Fishing Expert 4.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Fix My Ebooks 2.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Flash LipSync Bundle 1.0.1 [Key+Serial].zip
c:\documents and settings\Administrateur\Application Data\m\shared\FlashChart 2.0 KeyGen.zip
c:\documents and settings\Administrateur\Application Data\m\shared\FontNames 3.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Forex Trading System 2.06.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Fox News Headlines 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\FullerScreen 2.1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Garfield's Snowman Demo Screensaver 1.0 [With Crack].zip
c:\documents and settings\Administrateur\Application Data\m\shared\GCS MedTrans 9.0 [Serial].zip
c:\documents and settings\Administrateur\Application Data\m\shared\Gigli Trailer.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Google Video 1.1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Guitarpad Free Digital Tuner 1.2.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Holidays Manager 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Houdini ID3 Tagger 1.5.zip
c:\documents and settings\Administrateur\Application Data\m\shared\HS WinPerfect 5.71.1 (Cracked).zip
c:\documents and settings\Administrateur\Application Data\m\shared\hsDefragSaver 1.0.3.85.zip
c:\documents and settings\Administrateur\Application Data\m\shared\HTML Password Encryption 4.20.02.zip
c:\documents and settings\Administrateur\Application Data\m\shared\iETBC 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Image Watermarks 1.2 (KeyGen).zip
c:\documents and settings\Administrateur\Application Data\m\shared\Imagistik Markup 3.0.2589.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Information Security and Ethical Hacking Course Level 1 Crack.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Inside Keylogger 4.1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\JM-Mobile Browser 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Kamlex Units Converter 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Keyboard Hack 3.3.zip
c:\documents and settings\Administrateur\Application Data\m\shared\KeyScrambler Professional 1.0.1 Key+Serial.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Limagito Lite (formerly MoveIt2) 6.71.0.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\LingvoSoft Picture Dictionary 2008 French - Korean 1.2.26.zip
c:\documents and settings\Administrateur\Application Data\m\shared\LingvoSoft Talking Dictionary 2007 French - Russian 4.0.22 Serial.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Lock it and Protect Pro 2.03.08.zip
c:\documents and settings\Administrateur\Application Data\m\shared\LogBook 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Look It Up 1.0.7.zip
c:\documents and settings\Administrateur\Application Data\m\shared\McAfee.Virus.Scan.Plus.2007.German-BK.zip
c:\documents and settings\Administrateur\Application Data\m\shared\MealPlanner 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\MechWarrior 4 Vengeance - Stormy TKO2H map.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Medieval Bluetooth OBEX File Transfer 1.2.1.1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Medusa Font 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Mobile Ringtone Converter 2.3.108.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Morpheus Photo Morpher 3.zip
c:\documents and settings\Administrateur\Application Data\m\shared\MOV to MPG AVI WMV Converter 4.1.0725 Patch.zip
c:\documents and settings\Administrateur\Application Data\m\shared\MS-DOS Options 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\MyScreen 3 [With Crack].zip
c:\documents and settings\Administrateur\Application Data\m\shared\Myster 7.5.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Network Traffic Generator 0.1.3.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Network Traffic Generator and Monitor 1.7 Key+Serial.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Oracle Session Manager 1.7.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\OraDeveloper Tools 2.00 With Crack.zip
c:\documents and settings\Administrateur\Application Data\m\shared\P2P Share Spy 3.1 Serial.zip
c:\documents and settings\Administrateur\Application Data\m\shared\PDF to TIFF command line 2.1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Personal Numerologist 5.0.3.zip
c:\documents and settings\Administrateur\Application Data\m\shared\PicMe Photo Sharing 1.0.314.31.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Pocket Oxford English Dictionary (BlackBerry) 2.30.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Pong 2.0.4.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Proxain 1.2.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Quick Photo Resizer 2.5.1.1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\RICalc 1.1.6.zip
c:\documents and settings\Administrateur\Application Data\m\shared\SafeCrypt 1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\SciCalc 2.1.4.3.zip
c:\documents and settings\Administrateur\Application Data\m\shared\ScimoreDB Embedded Database 1.5.5.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Search Fast Communicator 1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Shift Scheduler for Excel 1 [Key].zip
c:\documents and settings\Administrateur\Application Data\m\shared\Simple Desktop Calendar 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Smart Data Scrubber 3.4.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Super iPod Video Converter 3.5.1 (Patch).zip
c:\documents and settings\Administrateur\Application Data\m\shared\t@b ZS4 Video Editor for win32 0.958.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Tabby Cat Clock Screensaver 1.0 [Key].zip
c:\documents and settings\Administrateur\Application Data\m\shared\TargetExpress 3.02 Patch.zip
c:\documents and settings\Administrateur\Application Data\m\shared\TChat 3.0.1 [KeyGen].zip
c:\documents and settings\Administrateur\Application Data\m\shared\TextPredictive 1.0.1 (With Crack).zip
c:\documents and settings\Administrateur\Application Data\m\shared\The World of Henri de Toulouse-Lautrec 4.6.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Time Volume 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\TOKI TC 1.2.zip
c:\documents and settings\Administrateur\Application Data\m\shared\TSremux 0.0.20.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Turkey 1.0.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Ultra Trigger FX 1.144.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Ultralingua English-Esperanto Dictionary 5.03.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Undelete NOW! 1.0 [Patch].zip
c:\documents and settings\Administrateur\Application Data\m\shared\Unreal Tournament 2003 - Valley Rising deathmatch map.zip
c:\documents and settings\Administrateur\Application Data\m\shared\ViceVersa PRO 2.0 build 2015.zip
c:\documents and settings\Administrateur\Application Data\m\shared\VirtualStream 1.00.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Voxengo Elephant 2.5.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Warcraft III - Land of Myths map.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Web Image Protector 1.zip
c:\documents and settings\Administrateur\Application Data\m\shared\WinTidy 5.0.2.zip
c:\documents and settings\Administrateur\Application Data\m\shared\Writepaper-Printery 1.0.0.0 [Patch].zip
C:\InfoSat.txt
c:\windows\system32\mdelk.exe
c:\windows\system32\wintems.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SROSA
-------\Legacy_SROSA
-------\Legacy_SK9OU0S
-------\Service_sK9Ou0s

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-24 au 2009-03-24 ))))))))))))))))))))))))))))))))))))
.

2009-03-24 17:10 . 2009-03-24 23:15 <REP> d--h----- c:\documents and settings\Administrateur\Application Data\drivers

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-24 14:56 --------- d-----w c:\documents and settings\Administrateur\Application Data\XnView
2009-03-24 11:10 --------- d-----w c:\documents and settings\Administrateur\Application Data\Wildfire
2009-03-23 22:16 --------- d-----w c:\documents and settings\Administrateur\Application Data\Poser Pro
2009-03-23 20:32 --------- d-----w c:\program files\Fichiers communs\DAZ
2009-03-22 21:59 196,608 ----a-w c:\windows\system32\drivers\nStandard.bin
2009-03-16 12:05 --------- d-----w c:\program files\eMule
2009-02-26 21:10 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2009-02-22 11:39 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-16 09:31 --------- d-----w c:\documents and settings\Administrateur\Application Data\FileZilla
2009-02-14 15:09 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype
2009-02-14 15:06 --------- d-----w c:\documents and settings\Administrateur\Application Data\skypePM
2009-02-14 12:58 --------- d-----w c:\program files\Fichiers communs\Skype
2009-02-14 12:58 --------- d-----w c:\documents and settings\All Users\Application Data\Skype
2009-02-14 12:58 --------- d-----r c:\program files\Skype
2009-02-14 12:21 --------- d-----w c:\documents and settings\All Users\Application Data\Genimo
2009-02-06 20:18 --------- d-----w c:\program files\Google
2009-01-31 14:02 --------- d-----w c:\program files\ReflexiveArcade
2009-01-30 13:55 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-01-29 19:35 --------- d-----w c:\documents and settings\Administrateur\Application Data\Wilma
2009-01-28 15:02 --------- d-----w c:\program files\SDLL
2009-01-28 13:51 --------- d-----w c:\documents and settings\All Users\Application Data\MumboJumbo
2009-01-28 13:32 --------- d-----w c:\documents and settings\Administrateur\Application Data\Mysteryville2
2009-01-28 13:14 --------- d-----w c:\documents and settings\Administrateur\Application Data\GameHouse
2009-01-28 13:03 --------- d-----w c:\documents and settings\All Users\Application Data\InstallShield
2009-01-28 13:02 278,728 ----a-w c:\windows\system32\drivers\atksgt.sys
2009-01-28 13:02 25,416 ----a-w c:\windows\system32\drivers\lirsgt.sys
2009-01-28 13:02 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2009-01-28 13:02 --------- d-----w c:\program files\AGEIA Technologies
2009-01-27 20:26 --------- d-----w c:\program files\Microsoft LifeCam
2009-01-27 19:39 --------- d-----w c:\program files\QuickTime Alternative
2009-01-27 07:53 --------- d-----w c:\program files\Microsoft Works
2009-01-27 07:53 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-01-27 07:52 --------- d-----w c:\program files\Microsoft Visual Studio 8
2009-01-26 21:07 --------- d-----w c:\documents and settings\Administrateur\Application Data\DAEMON Tools Pro
2009-01-26 20:27 --------- d-----w c:\documents and settings\Administrateur\Application Data\DAEMON Tools Lite
2009-01-26 20:24 --------- d-----w c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-01-26 20:24 --------- d-----w c:\documents and settings\Administrateur\Application Data\DAEMON Tools
2009-01-26 20:17 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-01-26 20:17 --------- d-----w c:\program files\CD-R
2009-01-26 17:16 --------- d-----w c:\documents and settings\Administrateur\Application Data\Genimo
2009-01-26 13:05 --------- d-----w c:\documents and settings\Administrateur\Application Data\Autodesk
2009-01-26 13:04 --------- d-----w c:\documents and settings\All Users\Application Data\Autodesk
2009-01-25 21:50 --------- d-----w c:\documents and settings\All Users\Application Data\Slapdash Games
2009-01-25 21:11 --------- d-----w c:\documents and settings\Administrateur\Application Data\Dragon Altar Games
2009-01-25 19:35 --------- d-----w c:\documents and settings\Administrateur\Application Data\SprillBermudeEng
2009-01-25 19:34 --------- d-----w c:\documents and settings\Administrateur\Application Data\Mushroom Age
2009-01-25 19:26 --------- d-----w c:\documents and settings\All Users\Application Data\PopCap
2009-01-25 19:23 --------- d-----w c:\documents and settings\All Users\Application Data\Flood Light Games
2009-01-25 19:23 --------- d-----w c:\documents and settings\Administrateur\Application Data\Flood Light Games
2009-01-25 19:21 --------- d-----w c:\program files\orange
2009-01-25 19:21 --------- d-----w c:\program files\Fichiers communs\Oberon Media
2009-01-25 17:09 --------- d-----w c:\program files\Fichiers communs\Autodesk Shared
2009-01-25 17:09 --------- d-----w c:\program files\Autodesk
2009-01-25 14:41 --------- d-----w c:\documents and settings\Administrateur\Application Data\Anthropics
2009-01-25 14:34 --------- d-----w c:\program files\Fichiers communs\ACD Systems
2009-01-25 14:26 --------- d-----w c:\program files\Common Files
2009-01-25 14:26 --------- d-----w c:\documents and settings\All Users\Application Data\IMSIDesign
2009-01-25 14:23 --------- d-----w c:\documents and settings\Administrateur\Application Data\IMSIDesign
2009-01-25 14:11 --------- d-----w c:\program files\Fichiers communs\Cadsoft
2009-01-25 11:11 --------- d-----w c:\documents and settings\Administrateur\Application Data\Queue Manager
2008-03-05 19:39 81,920 ----a-w c:\documents and settings\Administrateur\Application Data\ezpinst.exe
2008-03-05 19:39 47,360 ----a-w c:\documents and settings\Administrateur\Application Data\pcouffin.sys
2008-01-06 15:45 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
2008-02-04 19:26 151,040 --sh--w c:\windows\system32\VistaUltm.dll
.

------- Sigcheck -------

2006-09-09 14:49 360576 c7be59b07c6eb74bea6fd67c1b164015 c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2009-03-24 266497]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 c:\windows\RTHDCPL.EXE]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
APC UPS Status.lnk - c:\program files\APC\APC PowerChute Personal Edition\Display.exe [2009-01-18 221247]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-12-16 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.imc"= imc32.acm
"msacm.l3codecp"= l3codecp.acm
"VIDC.i263"= i263_32.drv
"VIDC.I420"= i420vfw.dll
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-01-19 11:55 5674352 c:\program files\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-04-12 16:44 8429568 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2008-02-29 03:12 76304 c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\FlashFXP\\FlashFXP.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\manager.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\server.exe"=
"c:\\Program Files\\Autodesk\\3ds Max 2009\\3dsmax.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 jahci;jahci;c:\windows\system32\drivers\jahci.sys [2006-09-09 33280]
R0 SI3112r;Silicon Image SiI 3512 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [2007-08-09 97920]
R2 mi-raysat_3dsMax2009_32;mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit;c:\program files\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe [2008-03-10 65536]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [2007-07-26 169472]
S1 aswSP;aswSP; [x]
S2 AntiVirMailService;Avira AntiVir Premium MailGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2009-01-14 164097]
S2 antivirwebservice;Avira AntiVir Premium WebGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avwebgrd.exe [2009-01-14 258305]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys --> c:\windows\system32\DRIVERS\aswFsBlk.sys [?]
S3 atidgllk;atidgllk;c:\program files\ASUS\SmartDoctor\atidgllk.sys [2005-10-20 5376]
S4 AVEService;Service d'assistance Avira AntiVir Premium MailGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2009-01-14 41217]
.
Contenu du dossier 'Tâches planifiées'

2009-03-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- h:\apple software update\SoftwareUpdate.exe []
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Rainlendar2 - h:\rainlendar2\Rainlendar2.exe
ShellExecuteHooks-{6ED63687-EB85-4687-A8D0-17E9792B20CA} - (no file)

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.mini20.com
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://cid-8b3e34eb5b02a0c7.spaces.live.com/?partner=Live.Spaces&mkt=fr-FR
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
LSP: avsda.dll
Trusted Zone: localhost
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\yv9dynst.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr&source=iglk
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?btnG=Google+Search&q=
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\yv9dynst.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\documents and settings\Administrateur\Mes documents\Netscape6\nppl3260.dll
FF - plugin: c:\documents and settings\Administrateur\Mes documents\Netscape6\nprjplug.dll
FF - plugin: c:\documents and settings\Administrateur\Mes documents\Netscape6\nprpjplug.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPJPI150_08.dll
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPOJI610.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-24 23:17:53
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1212)
c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll

- - - - - - - > 'lsass.exe'(1272)
c:\windows\system32\avsda.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Acronis\Schedule2\schedul2.exe
c:\program files\APC\APC PowerChute Personal Edition\mainserv.exe
c:\windows\ATKKBService.exe
c:\program files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
c:\windows\system32\FTRTSVC.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.exe
c:\program files\APC\APC PowerChute Personal Edition\apcsystray.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wgatray.exe
.
**************************************************************************
.
Heure de fin: 2009-03-24 23:19:56 - La machine a redémarré [Administrateur]
ComboFix-quarantined-files.txt 2009-03-24 22:19:54

Avant-CF: 67,490,312,192 octets libres
Après-CF: 67,396,386,816 octets libres

509
=====================================================================

############################## [ FindyKill V4.720 ]

# User : Administrateur (Administrateurs) # SWEET-8357EB507
# Update on 22/03/09 by Chiquitine29
# Start at: 14:08:07 | 26/03/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Intel(R) Core(TM)2 CPU 6420 @ 2.13GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 81,67 Go (62,91 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# G:\ # Disque fixe local # 48,83 Go (45,67 Go free) [GAMES] # NTFS
# H:\ # Disque fixe local # 73,09 Go (61,86 Go free) [LOGICIELS] # NTFS
# J:\ # Disque fixe local # 29,29 Go (28,13 Go free) [USERS] # NTFS
# K:\ # Disque fixe local # 29,3 Go (28,39 Go free) [WEB] # NTFS
# L:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\explorer.exe
C:\Program Files\QUAD Utilities\QUAD Registry Cleaner\QUAD Scheduler.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers / Dossiers infectieux C:\ ]

################## [ C:\WINDOWS ]

################## [ C:\WINDOWS\system32 ]

################## [ C:\WINDOWS\system32\drivers ]

################## [ C:\.. Application Data ... ]

################## [ Registre / Clés infectieuses ]

Found ! - HKEY_USERS\S-1-5-21-1454471165-1965331169-725345543-500\Software\Local AppWizard-Generated Applications\serial
Found ! - HKEY_USERS\S-1-5-21-1454471165-1965331169-725345543-500\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\serial
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro

################## [ Recherche dans supports amovibles]

# Presence des fichiers :

################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.720 ! ]

====================================================================
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1902
Windows 5.1.2600 Service Pack 2

2009-03-26 17:54:46
mbam-log-2009-03-26 (17-54-46).txt

Type de recherche: Examen rapide
Eléments examinés: 68248
Temps écoulé: 1 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6ed63687-eb85-4687-a8d0-17e9792b20ca} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\RegistrySmart (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6ed63687-eb85-4687-a8d0-17e9792b20ca} (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 7 / 8
tarmac-blues Messages postés 9 Statut Membre
 
Je ne peux pas poster les autres rapports Combofix : j'ai ... détruit le répertoire Qoobox tellement il y avait de fichiers log txt et autres bidules installés, etc avec tous les patches que j'ai fait tourner.

Entretemps, j'ai fait tourner un scan online Eset Nod32. Rien à signaler

Cela étant j'ai désinstallé Antivir et réinstallé (c'est une version propre avec clé d'activation payée avec mes sous) comme tu me l'as conseillé. Et alors là miracle, install tranquille pépère, puis scan rapide et scan complet. Il y a bien 3 fichiers qui n'ont pas pu être ouverts mais bon, ça marche. Rapport ci-dessous et donc a priori problème réglé. Incredible !!!

Je n'ai pas compris tout le film. La dénomination du virus était bien "Win32.worm.bagle.ZNG" mais comme tu le dit, ça semble être un Bagle "classique". En tout cas ça alisse sceptique sur l'efficacité de l'antivirus puisque que je lui avais soumis le fichier téléchargé avant d'ouvrir l'exécutable. Surtout s'il s'agit d'un virus connu (Bagle existe depuis 2004) Dire que le support Antivir n'avait que comme seul conseil de formater et de recharger Windows.

Merci encore et bon week end

Avira AntiVir Premium
Report file date: 2009-03-27 18:16

Scanning for 1328914 virus strains and unwanted programs.

Licensee : Francis MOREL
Serial number : 2200929722-PEPWE-0001
Platform : Windows XP
Windows version : (Service Pack 2) [5.1.2600]
Boot mode : Normally booted
Username : SYSTEM
Computer name : SWEET-8357EB507

Version information:
BUILD.DAT : 9.0.0.421 21382 Bytes 2009-03-24 11:03:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 2009-03-27 17:05:08
AVSCAN.DLL : 9.0.3.0 40705 Bytes 2009-03-27 17:05:06
LUKE.DLL : 9.0.3.2 209665 Bytes 2009-03-27 17:05:32
LUKERES.DLL : 9.0.2.0 12033 Bytes 2009-03-27 17:05:32
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 2008-10-27 17:03:59
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 2009-02-11 17:04:25
ANTIVIR2.VDF : 7.1.2.199 1008640 Bytes 2009-03-22 17:04:33
ANTIVIR3.VDF : 7.1.2.228 257024 Bytes 2009-03-27 17:04:35
Engineversion : 8.2.0.129
AEVDF.DLL : 8.1.1.0 106868 Bytes 2009-03-27 17:04:51
AESCRIPT.DLL : 8.1.1.70 369019 Bytes 2009-03-27 17:04:51
AESCN.DLL : 8.1.1.8 127346 Bytes 2009-03-27 17:04:49
AERDL.DLL : 8.1.1.3 438645 Bytes 2009-03-27 17:04:49
AEPACK.DLL : 8.1.3.11 397687 Bytes 2009-03-27 17:04:47
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 2009-03-27 17:04:45
AEHEUR.DLL : 8.1.0.111 1679736 Bytes 2009-03-27 17:04:45
AEHELP.DLL : 8.1.2.2 119158 Bytes 2009-03-27 17:04:39
AEGEN.DLL : 8.1.1.31 340341 Bytes 2009-03-27 17:04:38
AEEMU.DLL : 8.1.0.9 393588 Bytes 2009-03-27 17:04:37
AECORE.DLL : 8.1.6.6 176501 Bytes 2009-03-27 17:04:36
AEBB.DLL : 8.1.0.3 53618 Bytes 2009-03-27 17:04:35
AVWINLL.DLL : 9.0.0.3 18177 Bytes 2009-03-27 17:05:11
AVPREF.DLL : 9.0.0.1 43777 Bytes 2009-03-27 17:05:06
AVREP.DLL : 8.0.0.3 155905 Bytes 2009-03-27 17:04:52
AVREG.DLL : 9.0.0.0 36609 Bytes 2009-03-27 17:05:06
AVARKT.DLL : 9.0.0.1 292609 Bytes 2009-03-27 17:04:54
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 2009-03-27 17:05:01
SQLITE3.DLL : 3.6.1.0 326401 Bytes 2009-03-27 17:05:41
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2009-03-27 17:05:39
NETNT.DLL : 9.0.0.0 11521 Bytes 2009-03-27 17:05:33
RCIMAGE.DLL : 9.0.0.21 2622721 Bytes 2009-03-27 17:01:48
RCTEXT.DLL : 9.0.35.0 90369 Bytes 2009-03-27 17:01:48

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: c:\program files\avira\antivir desktop\sysscan.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:, G:, H:, J:, K:,
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium

Start of the scan: 2009-03-27 18:16

Starting search for hidden objects.
'34565' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'NOTEPAD.EXE' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avmailc.exe' - '1' Module(s) have been scanned
Scan process 'avwebgrd.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'wgatray.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'ups.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'raysat_3dsMax2009_32server.exe' - '1' Module(s) have been scanned
Scan process 'LSSrvc.exe' - '1' Module(s) have been scanned
Scan process 'FTRTSVC.exe' - '1' Module(s) have been scanned
Scan process 'AdskScSrv.exe' - '1' Module(s) have been scanned
Scan process 'ATKKBService.exe' - '1' Module(s) have been scanned
Scan process 'mainserv.exe' - '1' Module(s) have been scanned
Scan process 'schedul2.exe' - '1' Module(s) have been scanned
Scan process 'apcsystray.exe' - '1' Module(s) have been scanned
Scan process 'KHALMNPR.exe' - '1' Module(s) have been scanned
Scan process 'SetPoint.exe' - '1' Module(s) have been scanned
Scan process 'RTHDCPL.EXE' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
38 processes with 38 modules were scanned

Starting master boot sector scan:

Start scanning boot sectors:

Starting to scan executable files (registry).
The registry was scanned ( '51' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!

End of the scan: 2009-03-27 18:48
Used time: 26:19 Minute(s)

The scan has been done completely.

7461 Scanned directories
308278 Files were scanned
0 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
0 Files were moved to quarantine
0 Files were renamed
3 Files cannot be scanned
308263 Files not concerned
2583 Archives were scanned
3 Warnings
14 Notes
34565 Objects were scanned with rootkit scan
0 Hidden objects were found
0
Réponse 8 / 8
Qc001 Messages postés 256 Statut Membre 17
 
Désolé pour le délai de réponse, tarmac-blues ;

C'est juste le temps qui me manque en ce moment. Je repasserai ce soir (cette nuit en fait) pour faire le bilan de tout ça. Merci pour les précisions en tout cas. Je vais reprendre tout en détail afin de bien t'expliquer le pourquoi du comment, et aussi pour t'éclairer sur la "défaillance" possible d'AntiVir lors de l'analyse de ton fichier (Bagle).

À très bientôt,
0
tarmac-blues Messages postés 9 Statut Membre
 
C'est vrai que j'aimerai comprendre. Toute info sera la bienvenue. Mais je ne veux pas non plus "manger" le temps des helpers. D'autres, sans doute moins armés, ont de plus redoutables problèmes

Bon week
0

Discussions similaires

infection
gladiator1952 -
gladiator1952 -

6 réponses
Infection pc
Nanie24 -
Nanie24 -

22 réponses
[pnkbstra]infection
swazolie -
billou631 -

9 réponses
infection virus
Utilisateur anonyme -
Utilisateur anonyme -

3 réponses
Infection Bloom ?
ccm81 -
fabul -

8 réponses