[ver] Bagle.ie

Question

Bonjour
J'ai téléchargé un fichier avec emule (je sais c'est pas terrible) et je pense que ce fichier m'a amené le ver Bagle (version ie, selon l'analyse en ligne de kapersky). En fait mon antivirus me demandait sans cesse l'autorisation d'écriture dans la base de registres et mon navigateur internet, la sauvegarde de cookies alors que je ne naviguait plus. Ca m'a alerté et l'analyse en ligne avec Kapersky a détecté ça : 
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~49.exe  	Infecté : Email-Worm.Win32.Bagle.ie

En parallèle j'avais un processus nommé ~4b.exe

 J'avais pourtant scanné le fichier avec mon antivirus (Bitdefender) au préalable. Bref, j'ai eu beau essayer les utilitaires de scan et suppression en ligne, je n'y arrive pas. Celui de norton sur secuser.com ne le détecte même pas.
Je précise que ce petit ver a eu pour effet de supprimer des executables de programmes et notamment de mon antivirus, donc j'ai essayé aussi de suivre ce que j'avais trouvé sur ce post :
fichiers exe disparaissent
Mais sans effets..

Je suis sur un PC sous XP SP2. J'ai fait aussi un nettoyage avec Cleaner et pour l'instant c'est tout. 
Quelqu'un pour m'aider ?

philae83 · Answer

Bonsoir,

* Télécharge  Blacklight
https://europe.f-secure.com/exclude/blacklight/index.shtml
 (de F-Secure)
(le premier de la page)

Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe  et accepte la licence;
clique Scan  puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log  (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.
 NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
 car des fichiers légitimes peuvent être présents,  tel wbemtest.exe

Sylvie · Answer

Oui, merci de ta réponse. Juste après avoir posté j'ai vu qu'il fallait commencer par faire ça... Je viens donc de lancer l'analyse.

(Il y a tellement de posts et quand on recherche par google on ne trouve pas les plus pertinents de suite...)

Par contre avec F-secure j'ai voulu utiliser leur outil de désinfection de bagle mais il plante  dès le début...

Je te tiens au courant

Sylvie · Answer

Voilà le rapport :

02/20/07 21:35:39 [Info]: BlackLight Engine 1.0.55 initialized
02/20/07 21:35:39 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/20/07 21:35:40 [Note]: 7019 4
02/20/07 21:35:40 [Note]: 7005 0
02/20/07 21:35:44 [Note]: 7006 0
02/20/07 21:35:44 [Note]: 7011 2692
02/20/07 21:35:45 [Note]: 7026 0
02/20/07 21:35:45 [Note]: 7026 0
02/20/07 21:35:45 [Note]: 7024 3
02/20/07 21:35:45 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
02/20/07 21:36:17 [Note]: FSRAW library version 1.7.1021
02/20/07 21:36:23 [Info]: Hidden file: c:\Documents and Settings\Propriétaire\Application Data\hidires\hidr.exe
02/20/07 21:36:23 [Note]: 10002 2
02/20/07 21:36:23 [Info]: Hidden file: c:\Documents and Settings\Propriétaire\Application Data\hidires\m_hook.sys
02/20/07 21:36:23 [Note]: 10002 2
02/20/07 21:36:24 [Note]: 10002 3
02/20/07 21:36:24 [Note]: 10002 3
02/20/07 21:36:24 [Note]: 10002 2
02/20/07 21:36:24 [Note]: 10002 2
02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
02/20/07 21:38:19 [Note]: 10002 3
02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
02/20/07 21:38:19 [Note]: 10002 3
02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared
ews.png
02/20/07 21:38:19 [Note]: 10002 3
02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
02/20/07 21:38:19 [Note]: 10002 3
02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
02/20/07 21:38:19 [Note]: 10002 3
02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
02/20/07 21:38:19 [Note]: 10002 3
02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
02/20/07 21:38:19 [Note]: 10002 3
02/20/07 21:38:19 [Note]: 10002 2
02/20/07 21:38:19 [Note]: 10002 2
02/20/07 21:41:39 [Info]: Hidden file: c:\WINDOWS\ime\shared\imlang.dll
02/20/07 21:41:39 [Note]: 10002 3
02/20/07 21:41:39 [Info]: Hidden file: c:\WINDOWS\ime\sharedes\PADRS404.DLL
02/20/07 21:41:39 [Note]: 10002 3
02/20/07 21:41:39 [Info]: Hidden file: c:\WINDOWS\ime\sharedes\padrs804.dll
02/20/07 21:41:39 [Note]: 10002 3
02/20/07 21:41:39 [Note]: 10002 2
02/20/07 21:41:39 [Note]: 10002 2
02/20/07 21:42:10 [Info]: Hidden file: C:\WINDOWS\system32\wintems.exe
02/20/07 21:42:10 [Note]: 10002 2
02/20/07 21:42:10 [Info]: Hidden file: c:\WINDOWS\system32\hldrrr.exe
02/20/07 21:42:10 [Note]: 10002 2
02/20/07 21:43:50 [Note]: 2000 1012
02/20/07 21:43:50 [Note]: 2000 1012
02/20/07 21:43:50 [Note]: 2000 1012
02/20/07 21:43:51 [Note]: 2000 1012

C'est bizarre parce que le fichier hidr.exe je l'avais cherché justement suite à un post que j'avais parcourru mais je l'avais pas trouvé... hummm
Merci de ton aide

philae83 · Answer

re

tu vas faire ceci :

 Télécharge ELIBAGLA en bas de cette page
http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\
Et par la même occasion, précise si tu peux à nouveau démarrer en mode sans échec.

Sylvie · Answer

ok mais je connais pas un mot d'espagnol et je voudrais pas faire de betises :
je clique sur le bouton "explorar" ? (pas "salir")
et est-ce que je laisse la case du bas cochée ? "eliminar ficheros auto..."

philae83 · Answer

salir = sortir

donc tu cliques sur explorar

philae83 · Answer

OK,

peux tu refaire un scan avec F SECURE BLACKLIGHT stp et poste le rapport

Sylvie · Answer

02/20/07 22:45:37 [Info]: BlackLight Engine 1.0.55 initialized
02/20/07 22:45:37 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/20/07 22:45:37 [Note]: 7019 4
02/20/07 22:45:37 [Note]: 7005 0
02/20/07 22:45:39 [Note]: 7006 0
02/20/07 22:45:39 [Note]: 7011 2692
02/20/07 22:45:40 [Note]: 7026 0
02/20/07 22:45:40 [Note]: 7026 0
02/20/07 22:45:40 [Note]: 7024 3
02/20/07 22:45:40 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
02/20/07 22:45:50 [Note]: FSRAW library version 1.7.1021
02/20/07 22:45:53 [Note]: 10002 2
02/20/07 22:45:53 [Note]: 10002 2
02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
02/20/07 22:47:30 [Note]: 10002 3
02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
02/20/07 22:47:30 [Note]: 10002 3
02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared
ews.png
02/20/07 22:47:30 [Note]: 10002 3
02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
02/20/07 22:47:30 [Note]: 10002 3
02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
02/20/07 22:47:30 [Note]: 10002 3
02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
02/20/07 22:47:30 [Note]: 10002 3
02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
02/20/07 22:47:30 [Note]: 10002 3
02/20/07 22:47:30 [Note]: 10002 2
02/20/07 22:47:30 [Note]: 10002 2
02/20/07 22:50:12 [Info]: Hidden file: c:\WINDOWS\ime\shared\imlang.dll
02/20/07 22:50:12 [Note]: 10002 3
02/20/07 22:50:12 [Info]: Hidden file: c:\WINDOWS\ime\sharedes\PADRS404.DLL
02/20/07 22:50:12 [Note]: 10002 3
02/20/07 22:50:12 [Info]: Hidden file: c:\WINDOWS\ime\sharedes\padrs804.dll
02/20/07 22:50:12 [Note]: 10002 3
02/20/07 22:50:12 [Note]: 10002 2
02/20/07 22:50:12 [Note]: 10002 2
02/20/07 22:52:15 [Note]: 2000 1012
02/20/07 22:52:15 [Note]: 2000 1012
02/20/07 22:52:15 [Note]: 2000 1012
02/20/07 22:52:15 [Note]: 2000 1012
02/20/07 22:52:15 [Note]: 7002 0
02/20/07 22:52:15 [Note]: 7003 1

philae83 · Answer

re

* télécharge AVG Anti-Spyware (ewido)

https://www.avg.com/en-ww/free-antivirus-download

* tu l'installes

* lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

puis

Lance AVG Anti-Spyware

Clique sur le bouton Analyse (de la barre d'outils)

Puis sur l'onglet Paramètres,
sous : "Comment réagir "clique sur Actions recommandées. Sélectionne Quarantaine.

Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

A la fin du scan, choisis l'option 3

"Appliquer toutes les actions " en bas.

Clique sur "Enregistrer le rapport".

Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

Poste le.

et

* Télécharge CCleaner.

https://www.pcastuces.com/logitheque/ccleaner.htm

Installe le dans un répertoire dédié.

Décoche pendant l'installation

--- les deux cases "Ajouter l'option ... "

--- Contrôler les mises à jour

--- Ajouter la Barre d'Outils Yahoo! CCleaner

* Lance Ccleaner pour un nettoyage complet.

et


* Télécharge  HijackThis  et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

Sylvie · Answer

ok merci de ton aide, mais à quoi ça va servir tout ces logiciels ? parce que ca m'enchante pas plus que ça d'installer plein de nouveau trucs...
et j'ai déjà cleaner, j'ai fais un nettoyage avec et recherche des erreurs...etc
et ils disaient quoi tous les rapports que je t'ai postés ?

sinon je crois que je verrais demain
merci quand même

philae83 · Answer

tu es infecté par un sale truc, y a pas 50 solutions, ou alors faut formater.

Soit tu procèdes comme on te le demande, soit....j'ai pas la solution.
Désolée, je ne peux pas résoudre le problème pour toi.

tu me tiendras au courant si tu continues ou non

sylvie · Answer

Merci mais je cherchais pas à te vexer. C'est juste que je voyais que tu faisais un copier-coller de tes réponses à chaque fois que le problème semble identique et comme tu me demandais des tests mais que tu ne me disais pas pas ce qu'ils donnaient je me posais des questions.

Bref, j'ai fini par tenter une restauration du système et il semble que cela ait fonctionné. Au lancement suivant elibagla s'est mis en route avant même l'affichage du bureau. Il n'a rien trouvé. En suite l'ordi était lent mis après plusieurs redémarrage et un scan sur kapersky il semble que ca soit ok.

Je vais continuer le ménage, histoire de faire du vide et je te remercie quand même de ton aide.

philae83 · Answer

si tu penses que tout est réglé, c'est très bien pour toi. 
On ne s'amuse certes pas à écrire à chaque fois que le même problème se pose, les mêmes manips, il est clair qu'on utilise des copier coller, seulement malheureusement, tout ne fonctionne pas tjs de la même manière d'une infection à une autre, et d'un pc à un autre.

abbyl · Answer

Bonjour ,

J'ai le meme probleme...
Avec W32 bagle ht, ie, aa.
Je vais suivre ta procédure mais pourrais tu me guider philae 83?
Merci.

Je te mets le rapport dans un autre post.

philae83 · Answer

Mode sans echec c'est F8 au demarrage?
OUI
rebooter par msconfig , je ne connaissais pas.
alors tant mieux
aide pour MSE

http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

abbyl · Answer

Impossible de demarrer en mode sans echec...
Je lance en mode normal?

abbyl · Answer

Une autre question ce vers se propage t'il sur des pocket PC ou ssmart phone sous Windows mobile?
Si je formate mon disque juste la partition principale, y a til un risque que je le recupere via la partition secondaire?

philae83 · Answer

oui fait le en mode normal


Une autre question ce vers se propage t'il sur des pocket PC ou ssmart phone sous Windows mobile?
Si je formate mon disque juste la partition principale, y a til un risque que je le recupere via la partition secondaire?

aucune idée, mais je pourrais me renseigner

abbyl · Answer

Ci joint le rapport du scan du logiciel espagnol en mode normal:

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.23
 a "virus@satinfo.es".  Gracias.
C:\DOCUMENTS AND SETTINGS\GG-YAN\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Mon Mar 05 22:57:31 2007
EliBagle v10.23  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

abbyl · Answer

En tout cas, Merci pour ton aide qui semble toute naturelle!

philae83 · Answer

si c'était pas naturel, je ne serais pas sur les forums d'aide :)

peux tu faire ceci

* Télécharge Blacklight
https://europe.f-secure.com/exclude/blacklight/index.shtml
(de F-Secure)
(le premier de la page)

Enregistre le sur ton Bureau.
Double-clique blbeta.exe
Clique sur "I ACCEPT" .
clique Scan puis Next<*gras>

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé <gras>fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
car des fichiers légitimes peuvent être présents, tel wbemtest.exe

abbyl · Answer

Voilà le contenu du rapport:
ÿþ0

Il n'a rien detecté de caché.

abbyl · Answer

Le rapport s'appelle : fsbl-20070305220923.log et il y a que "ÿþ0
" à l'interieur...
Je sais c'est bizarre mais il n'y a rien d'autre.

philae83 · Answer

lorsque tu as fait le scan, que te disait il ? y avait il d'écrit :
no item found, ou bien y avait il un nombre d'item dedans avec des noms exe

philae83 · Answer

donc si il ne trouve rien, c'est engageant

pour AVG tu peux poster le rapport complet stp.
Ensuite dit moi si tu peux redémarrer en mode sans échec ou non

abbyl · Answer

Ci joint le rapport de AVG


-------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	20:48:38 06/03/2007

 + Résultat de l'analyse:	



C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBugTransporter.dll -> Adware.Minibug : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\gg-yan\Bureau\EliBaglA.exe -> Heuristic.Win32.AVKiller : Nettoyé et sauvegardé (mise en quarantaine).
G:\Program downloaded\Divers\CAO\CAD 3D Solid Designer 2001 + Workmanager + ME10.zip/crack/DODSD219.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Nettoyé et sauvegardé (mise en quarantaine).
G:\Program downloaded\Divers\CAO\CAD 3D Solid Designer 2001 + Workmanager + ME10.zip/crack/dodcwmgr.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Nettoyé et sauvegardé (mise en quarantaine).
G:\Program downloaded\Divers\CAO\CAD 3D Solid Designer 2001 + Workmanager + ME10.zip/crack/dodme101.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\gg-yan\Cookies\gg-yan@com[1].txt -> TrackingCookie.Com : Nettoyé.
C:\Documents and Settings\gg-yan\Cookies\gg-yan@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Nettoyé.
C:\Documents and Settings\gg-yan\Cookies\gg-yan@image.masterstats[1].txt -> TrackingCookie.Masterstats : Nettoyé.
C:\Documents and Settings\gg-yan\Cookies\gg-yan@data2.perf.overture[1].txt -> TrackingCookie.Overture : Nettoyé.
G:\Program downloaded\Sécurité\Norton\Symantec.Norton.Ghost.v9.0.Incl.Keygen-SSG.zip/nortonghost90p6.rar/keygen\ssg-ng90.exe -> Trojan.Keygen.s : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

abbyl · Answer

Log Hijackthis:


-----------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 20:52:25, on 06/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5296.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\looknstop\looknstop.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\AOL\Active Virus Shield\avp.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AH IE BHO - {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - C:\Program Files\ZoomText 8.1\AHOI\ah_ie_bho.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - Global Startup: Look n stop.lnk = C:\Program Files\looknstop\looknstop.exe
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ggyan75.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://support.norton.com/sp/en/us/home/current/info
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Program Files\AOL\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Professionnel 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Professionnel 2005.SR3\RpcSandraSrv.exe

philae83 · Answer

bonsoir

Tu ne trouves pas ça qu'il ne trouve meme pas les infos su systeme de restauration en fichier caché? 

je n'ai pas compris ta phrase.

donc en résumé, tu ne peux toujours pas redémarrer correctement en MSE ?

avg a nettoyé, rien dans ton dernier log hijackthis.

philae83 · Answer

ap hrase etait : "tu ne trouves pas ça bizarre que Fsecure ne detecte pas les fichiers qui sont dans le systeme de restauration (system volume information)?"

mais tu parles duquel de F SECURE.

Je vais reessayer en MSE et je te dis.
Sinon là je suis en cours d'analyse Antivirus et il m'a trouvé de exe dans le system volume information de C:...

poste le rapport on verra ensuite. Si c'est uniquement dans ta restauration système, on la supprimera et on pourra créér un point propre ensuite

abbyl · Answer

Voilà ce que Activ virus shield a trouvé dans mon scan:

Detected
--------
Status	Object
------	------
deleted: virus Email-Worm.Win32.Bagle.ic	File: C:\System Volume Information\_restore{7E56817F-8E31-4BDE-B590-E13AA864B4F8}\RP546\A0097479.exe
deleted: virus Email-Worm.Win32.Bagle.ic	File: C:\System Volume Information\_restore{7E56817F-8E31-4BDE-B590-E13AA864B4F8}\RP546\A0097480.exe


J'ai reessayé en MSE et toujours pas, deux minutes apres que je lui ai choisi l'option de demarrage il reboot ...

D'apres moi tout n'est pas réglé.

philae83 · Answer

bonjour,

c'est donc la restauration système

démarrer-----------panneau de configuration------------système----------

onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------

redémarre l'ordinateur

ensuite essaye avec ce logiciel pour le MSE 
bootsafe
http://www.freewarefiles.com/program_9_217_17269.html

abbyl75 · Answer

J'ai ressayé en MSE et ca a marché sans ton logiciel.
J'ai fait tourné le logiciel espagnol et il n'a rien detecté par contre il a eu un blocage sur un fichier denommé comme ça:
C:\windows\system32\?????,~?? auquel il n'avait pas accès.
Et je trouve ça louche...

philae83 · Answer

bonsoir,

J'ai ressayé en MSE et ca a marché sans ton logiciel.

parfait

J'ai fait tourné le logiciel espagnol et il n'a rien detecté 

lequel ?

par contre il a eu un blocage sur un fichier denommé comme ça:
C:\windows\system32\?????,~?? auquel il n'avait pas accès.
Et je trouve ça louche...
un peu louche à première vue. Essaye de le faire analyser chez virustotal stp

http://www.virustotal.com/en/indexf.html

* Colle dans la case à gauche de "parcourir" :

* clique ensuite sur "send". Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.

Dépose le dans ta réponse.

abbyl75 · Answer

Ben j'aimerais bien l'analyser ce fichier!
Mais je peux point!
Car je ne le vois point!
C'est la semaine de la poesie! lol

pour le logiciel espagnol je parlais de ELIBAGLA.

Bon ben on va en rester là, non ? A moins que tu vois quelque chose de plus à faire?
Merci en tout cas de ton aide!

philae83 · Answer

re

Ben j'aimerais bien l'analyser ce fichier!
Mais je peux point!
Car je ne le vois point!
C'est la semaine de la poesie! lol
tant qu'à faire autant faire un peu de poésie dans ce monde de folie....

pour le voir peut être faudrait il :

* Assure toi d'avoir accès à tous les fichiers

-démarrer

-poste de travail ou autre dossier

-menu outils

-options de dossier

-onglet affichage

puis

- activer la case : Afficher les fichiers et dossiers cachés

- désactiver la case : Masquer les extensions des fichiers dont le type est connu

- désactiver  la case : Masquer les fichier protégés du système d'exploitation

Puis  - Appliquer

pour le logiciel espagnol je parlais de ELIBAGLA.

ah ok, j'avais raté un épisode....

Bon ben on va en rester là, non ? A moins que tu vois quelque chose de plus à faire?
Merci en tout cas de ton aide!

non je pense que si en affichant les fichiers et dossiers cachés tu peux le faire analyser ce serait bien.

abbyl75 · Answer

J'avais deja regardé pour laisser apparaitre tous les fichiers.
L'acces au system volume information m'est refusé sur tous les disques. Meme quand le processus explorer est arrete.

De plus j'ai vu qu'un compte utilisateur ASP.net s'etait créé...

Et en demarrant y a un autre compte administrateur qui apparait alors que quand je regarde dans le panneau de config il n'y a que le mien.

Une idée?

philae83 · Answer

bonsoir,

* le fichier dont on parle c'est bien celui ci
C:\windows\system32\?????,~??
il n'est pas dans la restauration système, je n'ai pas compris

* peux tu donner la taille stp ainsi que la date de création.

* supprime les autres comptes si ce n'est pas toi qui les a créé


* Comment accèdes tu l à la restauration système? 
peux tu faire  windows+pause et cocher la case désactiver la restauration système

abbyl75 · Answer

bonsoir, 

* le fichier dont on parle c'est bien celui ci 
C:\windows\system32\?????,~?? 
il n'est pas dans la restauration système, je n'ai pas compris 

----je n'ai plus de probleme avec ce fichier car il a disparu.
par contre je n'arrive pas a acceder au repertoire system volume information de chaque disque et ceci apres desactiver puis reactivé la restauration systeme...

* Comment accèdes tu l à la restauration système? 
peux tu faire windows+pause et cocher la case désactiver la restauration système 

---J'y accede par clic droit poste de travail puis propriete.

philae83 · Answer

bonsoir,

si le fichier a disparu, on n'en parle plus

par contre je n'arrive pas a acceder au repertoire system volume information de chaque disque et ceci apres desactiver puis reactivé la restauration systeme...

on n'accède pas à la restauration système. on peut créer un point, restaurer à un point antérieur c'est tout. Tu veux faire quoi avec ?

abbyl75 · Answer

Ben pour voir ce qu'il y a dedans! lol
Bon ben c'est fini alors!
Merci encore!

philae83 · Answer

tu ne peux pas voir ce qu'il y a dedans, je confirme.

Si tout va bien maintenant oui c'est fini.

joystick de zizi et manette de zizi · Answer

Essaye avast en allant sur le site http://www.avast.fr

philae83 · Answer

bonjour 

tu peux nous dire à quoi ça sert de ressortir un topic du mois de mars ?

joystick de zizi et manette de zizi · Answer

Euh pardon c'est https://www.avast.com/fr-fr/index

philae83 · Answer

et ça change quoi ? au fait que le topic date de mars ?

[ver] Bagle.ie

45 réponses

Votre réponse

Discussions similaires

Newsletters