Virus BAGLE.BH Fermé

Question

Bonjour,
je suis infecté depuis quelques jours par ce virus !
voici le rapport hijack


Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 16:18:28, on 16/01/2008 
Platform: Windows XP SP2 (WinNT 5.01.2600) 
MSIE: Internet Explorer v7.00 (7.00.6000.16574) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\spoolsv.exe 
C:\Logiciels\Ad aware 2007\aawservice.exe 
C:\Logiciels\Ashampoo Magical Defrag\bin\aDefragService.exe 
c:\program files\mcafee.com\agent\mcdetect.exe 
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe 
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe 
C:\Program Files\NVIDIA Corporation\ForceWare
Stant Media\NvPvrMon.exe 
C:\WINDOWS\system32
vsvc32.exe 
C:\Logiciels\Perfect disk 8\PDAgent.exe 
C:\WINDOWS\system32\slserv.exe 
C:\Logiciels\Spy Emergency 2007\SpyEmergencySrv.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\system32\UAService7.exe 
C:\Logiciels\Perfect disk 8\PDEngine.exe 
C:\WINDOWS\SOUNDMAN.EXE 
C:\WINDOWS\system32undll32.exe 
C:\Program Files\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe 
C:\Logiciels\Browser Hijack Retaliator 4.1\BHR4.1.exe 
C:\WINDOWS\system32\LVCOMSX.EXE 
C:\Program Files\Logitech\Video\LogiTray.exe 
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe 
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe 
C:\PROGRA~1\mcafee.com\mps\mscifapp.exe 
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe 
C:\Logiciels\Daemon tools\daemon.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe 
C:\Program Files\Logitech\Video\FxSvr2.exe 
C:\Program Files\Internet Explorer\iexplore.exe 
C:\WINDOWS\system32\WISPTIS.EXE 
C:\WINDOWS\explorer.exe 
C:\Program Files\MSN Messenger\usnsvc.exe 
C:\Logiciels\Hijack this\HijackThis.exe 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winamp.com/plugins 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\program files\mcafee.com\mps\mcbrhlpr.dll 
O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\program files\mcafee.com\mps\popupkiller.dll 
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\program files\mcafee\spamkiller\mcapfbho.dll 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install 
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe 
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE 
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE 
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE 
O4 - HKLM\..\Run: [NvRemoteManager] C:\Program Files\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe 
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe 
O4 - HKLM\..\Run: [BHR4.1] C:\Logiciels\Browser Hijack Retaliator 4.1\BHR4.1.exe 
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE 
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe 
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup 
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start 
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe 
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe 
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe 
O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding 
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe 
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Logiciels\Daemon tools\daemon.exe" -lang 1033 
O4 - HKLM\..\Run: [DrWebScheduler] C:\Logiciels\Drweb\DRWEBSCD.EXE 
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Ludo\Local Settings\Temporary Internet Files\Content.IE5\3DE28G8H\EliBaglA[1].exe 
O4 - HKCU\..\Run: [SpyEmergency] "C:\Logiciels\Spy Emergency 2007\SpyEmergency.exe" 
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Logiciels\RegistryBooster 2\RegistryBooster.exe /S 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin
pjpi142_06.dll 
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin
pjpi142_06.dll 
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll 
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll 
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe 
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe 
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB 
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab 
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab 
O16 - DPF: {A4069847-C342-48E2-9257-01A24E5C78EA} (F-Secure Online Scanner 3.2) - https://www.f-secure.com/en/home/support 
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Logiciels\Ad aware 2007\aawservice.exe 
O23 - Service: AshampooDefragService - - C:\Logiciels\Ashampoo Magical Defrag\bin\aDefragService.exe 
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe 
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe 
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe 
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe 
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe 
O23 - Service: NVIDIA PVR Schedule Monitor (nvpvrmon) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\ForceWare
Stant Media\NvPvrMon.exe 
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe 
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Logiciels\Perfect disk 8\PDAgent.exe 
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Logiciels\Perfect disk 8\PDEngine.exe 
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe 
O23 - Service: Spy Emergency Shield Service (SpyEmrgSrv) - NETGATE Technologies s.r.o. - C:\Logiciels\Spy Emergency 2007\SpyEmergencySrv.exe 
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe 




puis voici le rapport avec elibagla 

Wed Jan 16 06:47:32 2008 
EliBagle v10.86 (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Acción Directa): 
Por favor, envienos una muestra del fichero 
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.86 
a "virus@satinfo.es". Gracias. 
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. 
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle 
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. 
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. 
Restaurada Clave: "SafeBoot\Minimal y Network" 

Wed Jan 16 06:48:45 2008 
EliBagle v10.86 (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Exploración): 
Explorando Unidad C:\ 
C:\WINDOWS\system32\drivers\down\29238171.EXE --> Eliminado Bagle 

Nº Total de Directorios: 3631 
Nº Total de Ficheros: 39638 
Nº de Ficheros Analizados: 8932 
Nº de Ficheros Infectados: 2 
Nº de Ficheros Limpiados: 1

winin · Answer

1/  Bonjour, fais un scan en ligne Kaspersky :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr


2/
Refais un log Hijackthis et poste le rapport.

ludo2569 · Answer

je n'arrive pas a le faire le scan alors que j'ai la bonne config pour le faire:
Échec du chargement du contrôle ActiveX Kaspersky On-line Scanner!

Vous devez jouir des privilèges d'administrateur sur ce poste ;
en outre, il faut configurer le niveau de sécurité IE sur Moyen.

winin · Answer

Il faut aller dans une autre session avec les droits administrateurs.

ludo2569 · Answer

dsl mais cela ne marche pas non plus
je suis desespéré !!!

winin · Answer

Va dans :
Panneau de config. => Ajout/Suppression de programmes et supprime webscanner Kaspersky et ré-essaie.

ludo2569 · Answer

je n'ai pas WEBSCANNER... dans ajout/suppression ...
mais j'ai déjà pu faire (hier) des scan avec PANDA, c'est ce scan qui m'a permis de savoir de quel virus il s'agissait

winin · Answer

On essaie un autre :
http://onecare.live.com/site/fr-be/default.htm?mkt=fr-be
Analyse complète et on installe les controles activX et on ne clique pas sur analyse rapide.

ludo2569 · Answer

apparemment cela marche ! j'ai lancé le scan, je poste le résultat dés que possible
merci

winin · Answer

Après le scan :
>> Télécharger cet outil de desinfection du virus beaglea :
http://www.sophos.fr/support/disinfection/baglea.html

Quel est ton antivirus ?

winin · Answer

Dans le scan Hijack je ne voit pas d'antivirus où il est inactif.

ludo2569 · Answer

si mon antivirus est mvafee, il reste quelque trace dans le post hijack ! c'est ce $@.!$ de virus qui l'a supprimé !
ok je suis ta procédure , mais le scan OneCare à l'air d'être assez long, je suis qu'à 7% !
je poste tout ça le plus vite possible mais je pense que cela sera pas avant demain

ludo2569 · Answer

bonjour,
le scan est fini mais il trouve pas mal d'erreur qu'il n'arrive pas à désinfecter.
je ne sais pas si OneCare réalise un rapport , je ne l'ai pas trouvé, en tout cas voici les pbm importants :
* Trojan/WinNT/Bagle.gen
... dans system32\drivers\srosa.sys
* Worm:Win32/Bagle.gen!C


j'ai lancé l'outil de désinfection, c'est en cours ! mais j'aurai pas le resultat avant 12h
merci

ludo2569 · Answer

voici le rapport après scan

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:47:21, on 17/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Logiciels\Ad aware 2007\aawservice.exe
C:\Logiciels\Ashampoo Magical Defrag\bin\aDefragService.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\Program Files\NVIDIA Corporation\ForceWare
Stant Media\NvPvrMon.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Logiciels\Perfect disk 8\PDAgent.exe
C:\WINDOWS\system32\slserv.exe
C:\Logiciels\Spy Emergency 2007\SpyEmergencySrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Logiciels\Perfect disk 8\PDEngine.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32undll32.exe
C:\Program Files\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe
C:\Logiciels\Browser Hijack Retaliator 4.1\BHR4.1.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\mps\mscifapp.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
C:\Logiciels\Daemon tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe
C:\Program Files\Ahead
ero
ero.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Ahead
ero
ero.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live Safety Center\SetupOneCare.exe
e:\57b7bba88d9f62299be21f5e9f07786c\ocsetup.exe
C:\Logiciels\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winamp.com/plugins
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\program files\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\program files\mcafee.com\mps\popupkiller.dll
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvRemoteManager] C:\Program Files\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BHR4.1] C:\Logiciels\Browser Hijack Retaliator 4.1\BHR4.1.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Logiciels\Daemon tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpyEmergency] "C:\Logiciels\Spy Emergency 2007\SpyEmergency.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin
pjpi142_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin
pjpi142_06.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A4069847-C342-48E2-9257-01A24E5C78EA} (F-Secure Online Scanner 3.2) - https://www.f-secure.com/en/home/support
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Logiciels\Ad aware 2007\aawservice.exe
O23 - Service: AshampooDefragService -   - C:\Logiciels\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: NVIDIA PVR Schedule Monitor (nvpvrmon) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\ForceWare
Stant Media\NvPvrMon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Logiciels\Perfect disk 8\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Logiciels\Perfect disk 8\PDEngine.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spy Emergency Shield Service (SpyEmrgSrv) - NETGATE Technologies s.r.o. - C:\Logiciels\Spy Emergency 2007\SpyEmergencySrv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

^^Marie^^ · Answer

**DOUBLON**
http://www.commentcamarche.net/forum/affich 4668165 virus bacle bh impossible a supprimer#0

winin · Answer

re,
>> Télécharger cet outil de desinfection du virus beaglea : 
http://www.sophos.fr/support/disinfection/baglea.html

winin · Answer

A pardon, et ça donne quoi ?

Télécharger le kit de desinfection par symantec :
https://www.commentcamarche.net/telecharger/ 
Important:
Enregistrez le fichier à un emplacement idéal, tel que votre bureau Windows. 
Fermez tous les programmes de fonctionnement. 
Si vous êtes sur un réseau ou si vous avez une connexion à plein temps à l'Internet, déconnectez l'ordinateur du réseau et d'Internet. 
Si vous utilisez Windows Me ou XP, désactivez la restauration du système.

Double-cliquez sur le fichier FxBeagle.exe pour lancer l'outil de suppression. 
Cliquez sur Démarrer pour démarrer le processus, et ensuite permettre à l'outil de courir. 

rsque l'outil a fini de courir, vous verrez un message indiquant si la menace a infecté l'ordinateur. L'outil affiche des résultats similaires à ce qui suit: 

Le nombre total de fichiers numérisés 
Nombre de fichiers supprimés 
Nombre de fichiers réparés 
Nombre de processus viraux résilié 
Nombre d'entrées de registre fixe 

Poster le rapport.

ludo2569 · Answer

Bonsoir,

j'avais déjà lancé ce kit mais je l'ai refait, il trouve rien mais ne me donne rien comme infos, il dis juste qu'il n'a pas trouvé le ...

hubertaaz · Answer

Salut TLM,

Ceci c'est quand même pas rien : 

Wed Jan 16 06:47:32 2008 
EliBagle v10.86 (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Acción Directa): 
Por favor, envienos una muestra del fichero 
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.86 
a "virus@satinfo.es". Gracias. 
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. 
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle 
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. 
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. 
Restaurada Clave: "SafeBoot\Minimal y Network" 

Wed Jan 16 06:48:45 2008 
EliBagle v10.86 (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Exploración): 
Explorando Unidad C:\ 
C:\WINDOWS\system32\drivers\down\29238171.EXE --> Eliminado Bagle 

Nº Total de Directorios: 3631 
Nº Total de Ficheros: 39638 
Nº de Ficheros Analizados: 8932 
Nº de Ficheros Infectados: 2 
Nº de Ficheros Limpiados: 1
@+

ludo2569 · Answer

mais ca c'est pas avec le kit symantec !

hubertaaz · Answer

D'accord mais c'est important pour Winin de le savoir.
As tu reçu une réponse pour le fichier envoyé?

@+

ludo2569 · Answer

voici la réponse de l'envoi du fichier
dsl je ne parle pas espagnol

Gracias por las muestras de ficheros. Acabamos de subir al área de utilidades de nuestra web, www.satinfo.es, nueva versión mejorada de la herramienta ELIBAGLA.EXE. Saludos cordiales, Dpto técnico

hubertaaz · Answer

Il existe à présent une version plus récente mise à jour en fonction des dernières infections, refais ce qui était indiqué sur l'autre topic et dont voici un copier/coller :

Rends toi sur ce site : 
http://www.zonavirus.com/datos/descargas/95/elibagla.asp 
tout en bas de cette page tu trouveras un outil à télécharger,clique sur "Descargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour) 
installe ce fichier sur le bureau. 
ensuite double-clic sur Elibagla.exe 
>laisse la case "eliminar ficheros automaticamente" coché"
>clique sur"explorar" 
>laisse-le travailler 
>poste le rapport final qui sera dans c:\infosat.txt 

@+

hubertaaz · Answer

Je viens de jeter un oeil rapide sur ton log HijackThis et il y a au moins une ligne qui me paraît néfaste :

O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
Il s'agit d'un active X qui correspond à un site du même nom.

Je te conseille donc de fixer cette ligne comme expliqué dans le tuto en tenant compte de ce qui suit (copié du site : www.bleepingcomputer.com)
Lorsque vous corrigez les éléments O16, HijackThis va essayer de les supprimer de votre disque dur. Normalement, il n'y a pas de problème, mais parfois HijackThis ne pourra pas supprimer le fichier malveillant. Si cela se produit, redémarrez en mode sans échec et supprimez manuellement ce fichier.

Cordialement

ludo2569 · Answer

voila le apport


	  Wed Jan 16 06:47:32 2008
EliBagle v10.86  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.86
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Wed Jan 16 06:48:45 2008
EliBagle v10.86  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\29238171.EXE --> Eliminado Bagle

Nº Total de Directorios:   3631
Nº Total de Ficheros:      39638
Nº de Ficheros Analizados: 8932
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  1

	  Fri Jan 18 16:29:53 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Fri Jan 18 16:30:14 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Ludo\HDAUDPROPSHORTCUT.EXE --> Eliminado Bagle.dldr
C:\Muestras\WINTEMS.EXE.MUESTRA ELIBAGLE V10.86 --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\100437.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\101965484.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\101983343.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\116535296.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\126203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\131054578.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\131071890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\133218.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\133859.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\136812.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\145637921.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\146421.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14696015.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14717953.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14727000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\150906.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\157812.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\158875.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\160169218.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\160195484.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\164625.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\169765.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\180109.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\18457812.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\18468515.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\185812.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\200062.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\216203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\29255109.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\43772171.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\58313656.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\58330890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\72849906.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\72864250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\87385296.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\87413906.EXE --> Eliminado Bagle

Nº Total de Directorios:   3644
Nº Total de Ficheros:      34345
Nº de Ficheros Analizados: 8959
Nº de Ficheros Infectados: 40
Nº de Ficheros Limpiados:  38



C'est bon j'ai réussi à fixé la ligne O16
voici le rapport


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:38:43, on 18/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Logiciels\Ashampoo Magical Defrag\bin\aDefragService.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\Program Files\NVIDIA Corporation\ForceWare
Stant Media\NvPvrMon.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Logiciels\Perfect disk 8\PDAgent.exe
C:\WINDOWS\system32\slserv.exe
C:\Logiciels\Spy Emergency 2007\SpyEmergencySrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe
C:\Logiciels\Browser Hijack Retaliator 4.1\BHR4.1.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\mps\mscifapp.exe
C:\Logiciels\Daemon tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Logiciels\Perfect disk 8\PDEngine.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Ludo\Local Settings\Temporary Internet Files\Content.IE5\59MUJVK1\EliBaglA[1].exe
C:\Logiciels\Hijack this\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winamp.com/plugins
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\program files\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\program files\mcafee.com\mps\popupkiller.dll
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvRemoteManager] C:\Program Files\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BHR4.1] C:\Logiciels\Browser Hijack Retaliator 4.1\BHR4.1.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Logiciels\Daemon tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Ludo\Local Settings\Temporary Internet Files\Content.IE5\59MUJVK1\EliBaglA[1].exe
O4 - HKCU\..\Run: [SpyEmergency] "C:\Logiciels\Spy Emergency 2007\SpyEmergency.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin
pjpi142_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin
pjpi142_06.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A4069847-C342-48E2-9257-01A24E5C78EA} (F-Secure Online Scanner 3.2) - https://www.f-secure.com/en/home/support
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Logiciels\Ad aware 2007\aawservice.exe
O23 - Service: AshampooDefragService -   - C:\Logiciels\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: NVIDIA PVR Schedule Monitor (nvpvrmon) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\ForceWare
Stant Media\NvPvrMon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Logiciels\Perfect disk 8\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Logiciels\Perfect disk 8\PDEngine.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spy Emergency Shield Service (SpyEmrgSrv) - NETGATE Technologies s.r.o. - C:\Logiciels\Spy Emergency 2007\SpyEmergencySrv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

ludo2569 · Answer

apparemment il y a pas de phrases commetu le dis !

^^Marie^^ · Answer

http://www.commentcamarche.net/forum/affich 4675351 virus bagle bh?page=2#26

J'ai pas tout copié

voila le apport


Wed Jan 16 06:47:32 2008
EliBagle v10.86 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.86
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Jan 16 06:48:45 2008
EliBagle v10.86 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\29238171.EXE --> Eliminado Bagle

Nº Total de Directorios: 3631
Nº Total de Ficheros: 39638
Nº de Ficheros Analizados: 8932
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 1



A+++++++++++++++

ludo2569 · Answer

quoi marie ?
tu veux quoi ?
regarde plus haut

^^Marie^^ · Answer

Tu m'écris &#9658; apparemment il y a pas de phrases commetu le dis !
Je te répond et te montre que la phrase tu l'as ;;))) dans ton rapport ;;))
qui est &#9658; http://www.commentcamarche.net/forum/affich 4675351 virus bagle bh?page=2#26 


Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.86
a "virus@satinfo.es". Gracias.

ludo2569 · Answer

je vois pas le pbm !
il n'y a rien d'anormal

hubertaaz · Answer

Salut ^^Marie et Ludo,

Merci d'avoir pris la relève ^^Marie^^, j'ai été privé de connexion depuis la fin de l'après midi.

En fait, Ludo à envoyé le fichier dont tu fais mention : C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 
Et à reçu la réponse suivante : Gracias por las muestras de ficheros. Acabamos de subir al área de utilidades de nuestra web, www.satinfo.es, nueva versión mejorada de la herramienta ELIBAGLA.EXE. Saludos cordiales, Dpto técnico (poste 23)

Suite à cela il a téléchargé la version mise à jour et a posté son rapport (poste 26) mais à la suite du rapport précédent du 16 janvier.

Le rapport du 18 janvier que je colle ci-après ne semble pas mentionner un fichier à leur envoyer : 

Fri Jan 18 16:29:53 2008 
EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Acción Directa): 
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. 
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. 
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. 
Restaurada Clave: "SafeBoot\Minimal y Network" 

Fri Jan 18 16:30:14 2008 
EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Exploración): 
Explorando Unidad C:\ 
C:\Documents and Settings\Ludo\HDAUDPROPSHORTCUT.EXE --> Eliminado Bagle.dldr 
C:\Muestras\WINTEMS.EXE.MUESTRA ELIBAGLE V10.86 --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\100437.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\101965484.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\101983343.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\116535296.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\126203.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\131054578.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\131071890.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\133218.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\133859.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\136812.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\145637921.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\146421.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\14696015.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\14717953.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\14727000.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\150906.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\157812.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\158875.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\160169218.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\160195484.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\164625.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\169765.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\180109.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\18457812.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\18468515.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\185812.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\200062.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\216203.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\29255109.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\43772171.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\58313656.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\58330890.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\72849906.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\72864250.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\87385296.EXE --> Eliminado Bagle 
C:\WINDOWS\system32\drivers\down\87413906.EXE --> Eliminado Bagle 

Nº Total de Directorios: 3644 
Nº Total de Ficheros: 34345 
Nº de Ficheros Analizados: 8959 
Nº de Ficheros Infectados: 40 
Nº de Ficheros Limpiados: 38 

Je te serais reconnaissant si tu pouvais assurer le suivi.
Cordialement
Hubert

ludo2569 · Answer

bonjour,

que dois je faire maintenant ?
merci

^^Marie^^ · Answer

Slt

Refais un log Hijackthis
stp

ludo2569 · Answer

bonjour marie,

voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:09:29, on 19/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Logiciels\Ad aware 2007\aawservice.exe
C:\Logiciels\Ashampoo Magical Defrag\bin\aDefragService.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NVIDIA Corporation\ForceWare
Stant Media\NvPvrMon.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Logiciels\Perfect disk 8\PDAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe
C:\WINDOWS\system32\slserv.exe
C:\Logiciels\Browser Hijack Retaliator 4.1\BHR4.1.exe
C:\Logiciels\Spy Emergency 2007\SpyEmergencySrv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\mps\mscifapp.exe
C:\Logiciels\Daemon tools\daemon.exe
C:\Logiciels\Spy Emergency 2007\SpyEmergency.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\YesMessenger\YesMessenger.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Logiciels\Perfect disk 8\PDEngine.exe
C:\Logiciels\Hijack this\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winamp.com/plugins
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\program files\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\program files\mcafee.com\mps\popupkiller.dll
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvRemoteManager] C:\Program Files\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BHR4.1] C:\Logiciels\Browser Hijack Retaliator 4.1\BHR4.1.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Logiciels\Daemon tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpyEmergency] "C:\Logiciels\Spy Emergency 2007\SpyEmergency.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: YesMessenger.lnk = C:\Program Files\YesMessenger\YesMessenger.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin
pjpi142_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin
pjpi142_06.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A4069847-C342-48E2-9257-01A24E5C78EA} (F-Secure Online Scanner 3.2) - https://www.f-secure.com/en/home/support
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Logiciels\Ad aware 2007\aawservice.exe
O23 - Service: AshampooDefragService -   - C:\Logiciels\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: NVIDIA PVR Schedule Monitor (nvpvrmon) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\ForceWare
Stant Media\NvPvrMon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Logiciels\Perfect disk 8\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Logiciels\Perfect disk 8\PDEngine.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spy Emergency Shield Service (SpyEmrgSrv) - NETGATE Technologies s.r.o. - C:\Logiciels\Spy Emergency 2007\SpyEmergencySrv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

winin · Answer

Hello ! 
Encore un doute : O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

ludo2569 · Answer

pour etre certain je l'ai fixé !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:44:20, on 19/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Logiciels\Ad aware 2007\aawservice.exe
C:\Logiciels\Ashampoo Magical Defrag\bin\aDefragService.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NVIDIA Corporation\ForceWare
Stant Media\NvPvrMon.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Logiciels\Perfect disk 8\PDAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe
C:\WINDOWS\system32\slserv.exe
C:\Logiciels\Browser Hijack Retaliator 4.1\BHR4.1.exe
C:\Logiciels\Spy Emergency 2007\SpyEmergencySrv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\mps\mscifapp.exe
C:\Logiciels\Daemon tools\daemon.exe
C:\Logiciels\Spy Emergency 2007\SpyEmergency.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Logiciels\Perfect disk 8\PDEngine.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Logiciels\Hijack this\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winamp.com/plugins
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\program files\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\program files\mcafee.com\mps\popupkiller.dll
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [NvRemoteManager] C:\Program Files\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BHR4.1] C:\Logiciels\Browser Hijack Retaliator 4.1\BHR4.1.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Logiciels\Daemon tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpyEmergency] "C:\Logiciels\Spy Emergency 2007\SpyEmergency.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: YesMessenger.lnk = C:\Program Files\YesMessenger\YesMessenger.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin
pjpi142_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin
pjpi142_06.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A4069847-C342-48E2-9257-01A24E5C78EA} (F-Secure Online Scanner 3.2) - https://www.f-secure.com/en/home/support
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Logiciels\Ad aware 2007\aawservice.exe
O23 - Service: AshampooDefragService -   - C:\Logiciels\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: NVIDIA PVR Schedule Monitor (nvpvrmon) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\ForceWare
Stant Media\NvPvrMon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Logiciels\Perfect disk 8\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Logiciels\Perfect disk 8\PDEngine.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spy Emergency Shield Service (SpyEmrgSrv) - NETGATE Technologies s.r.o. - C:\Logiciels\Spy Emergency 2007\SpyEmergencySrv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

ludo2569 · Answer

Bonsoir,
plus personne pour le coup de main ?

winin · Answer

Analyse en cours...

winin · Answer

O4 - Startup: YesMessenger.lnk = C:\Program Files\YesMessenger\YesMessenger.exe
Tu connais ?
Sinon on supprime.

ludo2569 · Answer

Bonjour,
ok je le supprime !

ludo2569 · Answer

J'ai une alerte de spyemergency sur : wintems.exe ???

ludo2569 · Answer

bonsoir,
faute de solution j'ai formater mon disque C:
merci a tout le monde

Virus BAGLE.BH

41 réponses

Discussions similaires