Infecté par bagle.hg (beagle) - wintems.exe

vodki Messages postés 3 Statut Membre -  
 JackAttack -
Bonjour,

voilà quelques jours que je suis infecté et que je n'arrive pas à me débarrasser d'un virus qui me semble assez coriace.

ce que j'ai observé :
- il me désactive les principaux antivirus et firewalls (en supprimant leurs fichiers, en tuant leurs processus et en retirant certaines clés registre) (essayé avast, bitdefender, spybot)
- J'ai essayé avec Avast, après l'installation, dès que l'on tente d'accéder aux fichiers, ils sont supprimés. Si, à l'installation tjrs, on choisit de planifier un scan et de redémarrer directement, celui ci ne s'exécute pas.
- J'ai utilisé des antivirus online (7 ou 8 environ). Peu d'entre eux trouvent des résultats et les autres ne sont pas d'accords sur le nom du virus. Certains plantent même.
- il ouvre une porte dérobée sur un port aléatoire
- il télécharge des trojans ou je ne sais pas quoi dans c:\windows\exefld\ et leur donne un nom du genre 23134289.exe
- le nom de son processus est wintems.exe au début il y avait un fichier dans system32. je l'ai supprimé mais le processus tourne toujours et parfois il est meme impossible de le supprimer (avec le gestionnaire de tâches ou processxp par exemple)
- il crée des entrées de registre dans HKEY_CURRENT_USER\Softwaire\DateTime4. Si je les supprime elles reviennent après redémarrage (même si le processus wintems.exe a été tué)

Voilà, à part ça je ne sais pas quoi faire, si vous pouvez m'aider ça serait vraiment sympa.
Je vous montre mon log hijack si ça peut servir :

Logfile of HijackThis v1.99.1
Scan saved at 17:21:08, on 22.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\AutoMate 6\AMTS.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\regedit.exe
C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Progs\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Fichiers communs\Logitech\WebColct\WebColct.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.logitech.com/index.cfm/products/videoeffects/videoeffectlisting/CH/FR,CRID=2366,effecttype=10347,PID=08cb0005,ad=QuickCam,version=10-0-0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4941/mcfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AutoMate 6 (AutoMate6) - Network Automation, Inc. - C:\Program Files\AutoMate 6\AMTS.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - Unknown owner - C:\WINDOWS\system32\brsvc01a.exe (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: wampapache - Unknown owner - C:\Program Files\wamp\apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: wampmysqld - Unknown owner - C:\Program Files\wamp\mysql\bin\mysqld-nt.exe" "--defaults-file=C:\Program Files\wamp\mysql\my.ini" wampmysqld (file missing)

Merci d'avance !
Configuration: Windows XP
Firefox 2.0.0.1

5 réponses

  1. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    slt,

    Télécharges smitfraudfix:(merci a S!RI pour ce programme)

    En image :
    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    tu le décompresses tu doubles cliques sur smitfraudfix.cmd et tu choisis l option 1
    cela vas générer un rapport,copie/colle le.

    a+
    0
  2. vodki Messages postés 3 Statut Membre
     
    Merci, j'avais entendu parler du prog, fodra ke j'essaie le nettoyage un jour. Le rapport ne m'aide pas bcp, je ne sais pas si c le cas pour toi :

    SmitFraudFix v2.133

    Rapport fait à 20:58:18.90, 22.01.2007
    Executé à partir de C:\Documents and Settings\Alex\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Alex

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Alex\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Alex\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Merci encore !
    0
  3. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Re,

    Ok tu peux jeter smitfraudfix il est propre;

    Ton log hijack ne montre pas d'infection a première vue. :)

    Regarde bien et applique ce qui est indiqué en gras
    ==================================

    Télécharge et installe ce log :

    * AVG AS

    AVG anti spyware
    https://www.01net.com/telecharger/
    Met le a jour avant de lancer le scan.
    Tuto :
    http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

    ->Relance AVG AS -> "Analyse" ->"Paramètres"

    Sous la question "Comment réagir ?" :

    -> clique sur "Actions recommandées" et choisis "Quarantaines"
    -> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    Si un fichier est infecté en fin d'analyse

    ->Clique sur "Appliquer toutes les actions "

    ->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

    ->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici

    a+

    0
    1. vodki Messages postés 3 Statut Membre
       
      Je te remercie de t'être intéressé et d'avoir répondu avec tant de rapidité mais finalement j'ai abandonné... AVG ne veut pas télécharger les mises à jour je ne sais pas pourquoi, peut-être le virus qui bloque...

      Enfin voilà ça fait bientot l'équivalent d'une 10aine d'h que je suis dessus, alors j'ai décidé de formater ça prendra moins de temps.

      Je sais c'est lâche :-) mais tant pis.

      Encore merci pour tout a+ !
      0
    2. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
       
      Ne formate pas !

      Télécharge Blacklight (de F-Secure):
      https://www.f-secure.com/en


      En bas de la page qui s'affiche clique sur "I accept".
      Sur la nouvelle page qui s'affiche cliques sur le lien :
      "Download Blacklight Beta Graphical user interface version",
      la fenêtre s'ouvre pour l'enregistrement, enregistre le sur ton bureau.

      Quitte la fenêtre .

      * Maintenant l'icone blbeta.exe doit être présent sur ton bureau
      -> double clic dessus, coche "I accept the agreement"
      -> clique [next] -> clique [scan]

      Laisse le scanner.

      Lorsque le scan est fini clique sur [next] -> [exit]

      Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
      Double clic dessus et copie et colle le contenu de ce rapport STP.

      a+
      0
    3. vodki
       
      Trop tard désolé :-(

      Si tu voulais l'étudier, tu m'aurais dit je t'aurais gardé un morceau :-D

      mais merci pour ton aide a+ !
      0
    4. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
       
      tant pis :-(

      Bon surf. ;)
      0
    5. jc > Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention  
       
      Salut, j'ai le même problème que "Vodki, alors j'ai suivi ton conseil, et voici le rapport de blbeta.exe
      Merci d'avance pour ton aide! C'est la memerde!
      a+

      02/15/07 21:28:27 [Info]: BlackLight Engine 1.0.55 initialized
      02/15/07 21:28:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
      02/15/07 21:28:30 [Note]: 7019 4
      02/15/07 21:28:30 [Note]: 7005 0
      02/15/07 21:28:35 [Note]: 7006 0
      02/15/07 21:28:35 [Note]: 7011 3312
      02/15/07 21:28:35 [Note]: 7026 0
      02/15/07 21:28:35 [Note]: 7026 0
      02/15/07 21:28:35 [Note]: 7024 3
      02/15/07 21:28:35 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
      02/15/07 21:28:35 [Note]: 7024 3
      02/15/07 21:28:35 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
      02/15/07 21:28:35 [Note]: 7024 3
      02/15/07 21:28:35 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
      02/15/07 21:28:47 [Note]: FSRAW library version 1.7.1021
      02/15/07 21:28:52 [Info]: Hidden file: c:\Documents and Settings\CHEMIN\Application Data\hidires\hidr.exe
      02/15/07 21:28:52 [Note]: 10002 2
      02/15/07 21:28:52 [Info]: Hidden file: c:\Documents and Settings\CHEMIN\Application Data\hidires\m_hook.sys
      02/15/07 21:28:52 [Note]: 10002 2
      02/15/07 21:28:53 [Note]: 10002 3
      02/15/07 21:28:53 [Note]: 10002 3
      02/15/07 21:28:53 [Note]: 10002 2
      02/15/07 21:28:53 [Note]: 10002 2
      02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
      02/15/07 21:32:28 [Note]: 10002 3
      02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
      02/15/07 21:32:28 [Note]: 10002 3
      02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png
      02/15/07 21:32:28 [Note]: 10002 3
      02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
      02/15/07 21:32:28 [Note]: 10002 3
      02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
      02/15/07 21:32:28 [Note]: 10002 3
      02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
      02/15/07 21:32:28 [Note]: 10002 3
      02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
      02/15/07 21:32:28 [Note]: 10002 3
      02/15/07 21:32:28 [Note]: 10002 2
      02/15/07 21:32:28 [Note]: 10002 2
      02/15/07 21:38:26 [Note]: 10002 2
      02/15/07 21:38:26 [Note]: 10002 2
      02/15/07 21:39:18 [Info]: Hidden file: C:\WINDOWS\system32\wintems.exe
      02/15/07 21:39:18 [Note]: 10002 2
      02/15/07 21:43:35 [Note]: 7007 0
      0
  4. modulo16 Messages postés 4 Statut Membre
     
    je vois que personne n'a trouver de solution contre ce virus ! j'ai également le même problème et j'ai essayé beaucoup de solution donné ici et la !
    si quelqu'un a trouvé un anti virus capable de éradiqué cette saloperie merci de faire partagé !
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. JackAttack
     
    Toujours pas de solution,
    Sur mon ordinateur:
    je confirme que c'est le virus bagle qui bloque le fonctionnement d' AVG et toutes les mises à jour de tous les programmes (y comprus windows update)
    il bloque également l'installation d' Avira Antivri Personal
    il bloque également Kaspersky Online Scanner (!)
    GMER ne l'a pas identifié (!)
    Enfin c'est Panda Online ActiveScan qui l'a trouvé (à peu près 2 heures...) Bravo Panda!
    ensuite (reboot) j'ai pu installer Avira Antivir, quiest en trian de scanner, mais il semble que bagle crée des fichiers .exe infectés au fur et à mesure du scan...
    0