Infecté par le virus win32 : Beagle - YN
Résolu
cyril
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
J'ai suivi le post de dovstoi...
voici mon problème :
le virus a desactivé les connexion internet depuis ma machine (wireless)
les antivirus ne s'executent pas cependant j'ai réussi à executer avast au démarage qui a detecté un Beagle - YN, !je crois!
j'ai ensuite essayé la procédure navilog1.exe puis clean.cmd qui donne les logs suivants:
clean s'est arrêté !je crois! au milieu de la detection (pas de message de fin)
Pouvez-vous, s'il vous plaît considérer ce message... je suis vraiment bloqué.
j'ai voulu gagner du temps en exécutant la même procédure mais celà n'a pas avancé à grand chose. sorry
j'ai chargé combofix mais l'exécution affiche : combofix n'est pas une application win32 valide comme pour l'ensemble des antivirus...
Merci d'avance
Search Navipromo version 3.4.2 commencé le 29.01.2008 à 19:07:42.70
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\Cyril\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\Cyril\local settings\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\Cyril\MENUDM~1\PROGRA~1" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Fichier(s) caché(s) :
C:\WINDOWS\system32\drivers\hldrrr.exe
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\Cyril\local settings\application data" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\Cyril\local settings\application data" :
3)Recherche Certificats :
Certificat Egroup absent !
4)Recherche fichiers connus :
*** Analyse terminée le 29.01.2008 à 19:14:42.78 ***
Clean Navipromo version 3.4.2 commencé le 29.01.2008 à 19:21:08.90
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS
Mode suppression automatique
avec prise en charge résultats Catchme et GNS
*** Creation backups fichiers trouvés par Catchme ***
Copie vers "C:\Program Files\navilog1\Backupnavi"
Copie C:\WINDOWS\system32\drivers\hldrrr.exe réalisée avec succès !
*** Suppression des fichiers trouvés avec Catchme ***
C:\WINDOWS\system32\drivers\hldrrr.exe !!ERREUR SUPPRESSION!!
** 2ème passage avec résultats Catchme **
* Dans C:\WINDOWS\system32 *
C:\WINDOWS\prefetch\hldrrr*.pf trouvé !
Copie C:\WINDOWS\prefetch\hldrrr*.pf réalisée avec succès !
C:\WINDOWS\prefetch\hldrrr*.pf supprimé !
* Dans "C:\Documents and Settings\Cyril\local settings\application data" *
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans C:\WINDOWS\System32 *
* Suppression dans "C:\Documents and Settings\Cyril\local settings\application data" *
*** Suppression dossiers dans C:\WINDOWS ***
*** Suppression dossiers dans C:\Program Files ***
*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Suppression dossiers dans "C:\Documents and Settings\Cyril\application data" ***
*** Suppression dossiers dans "C:\Documents and Settings\Cyril\local settings\application data" ***
*** Suppression dossiers dans "C:\Documents and Settings\Cyril\MENUDM~1\PROGRA~1" ***
*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Suppression fichiers ***
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Cyril\local settings\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Suppression avec sauvegardes nouveaux fichiers Instant Access :
2)Recherche, création sauvegardes et suppression Heuristique :
* Dans C:\WINDOWS\system32 *
* Dans "C:\Documents and Settings\Cyril\local settings\application data" *
*** Sauvegarde du Registre vers dossier Backupnavi ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Certificats ***
Certificat Egroup absent !
*** Nettoyage terminé le 29.01.2008 à 19:24:45.01 ***
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 29.01.2008 a 19:36:00.01
Microsoft Windows XP [version 5.1.2600]
*** Suppression des fichiers dans C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\wintems.exe
Impossible de supprimer C:\WINDOWS\system32\wintems.exe
J'ai suivi le post de dovstoi...
voici mon problème :
le virus a desactivé les connexion internet depuis ma machine (wireless)
les antivirus ne s'executent pas cependant j'ai réussi à executer avast au démarage qui a detecté un Beagle - YN, !je crois!
j'ai ensuite essayé la procédure navilog1.exe puis clean.cmd qui donne les logs suivants:
clean s'est arrêté !je crois! au milieu de la detection (pas de message de fin)
Pouvez-vous, s'il vous plaît considérer ce message... je suis vraiment bloqué.
j'ai voulu gagner du temps en exécutant la même procédure mais celà n'a pas avancé à grand chose. sorry
j'ai chargé combofix mais l'exécution affiche : combofix n'est pas une application win32 valide comme pour l'ensemble des antivirus...
Merci d'avance
Search Navipromo version 3.4.2 commencé le 29.01.2008 à 19:07:42.70
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\Cyril\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\Cyril\local settings\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\Cyril\MENUDM~1\PROGRA~1" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Fichier(s) caché(s) :
C:\WINDOWS\system32\drivers\hldrrr.exe
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\Cyril\local settings\application data" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\Cyril\local settings\application data" :
3)Recherche Certificats :
Certificat Egroup absent !
4)Recherche fichiers connus :
*** Analyse terminée le 29.01.2008 à 19:14:42.78 ***
Clean Navipromo version 3.4.2 commencé le 29.01.2008 à 19:21:08.90
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS
Mode suppression automatique
avec prise en charge résultats Catchme et GNS
*** Creation backups fichiers trouvés par Catchme ***
Copie vers "C:\Program Files\navilog1\Backupnavi"
Copie C:\WINDOWS\system32\drivers\hldrrr.exe réalisée avec succès !
*** Suppression des fichiers trouvés avec Catchme ***
C:\WINDOWS\system32\drivers\hldrrr.exe !!ERREUR SUPPRESSION!!
** 2ème passage avec résultats Catchme **
* Dans C:\WINDOWS\system32 *
C:\WINDOWS\prefetch\hldrrr*.pf trouvé !
Copie C:\WINDOWS\prefetch\hldrrr*.pf réalisée avec succès !
C:\WINDOWS\prefetch\hldrrr*.pf supprimé !
* Dans "C:\Documents and Settings\Cyril\local settings\application data" *
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans C:\WINDOWS\System32 *
* Suppression dans "C:\Documents and Settings\Cyril\local settings\application data" *
*** Suppression dossiers dans C:\WINDOWS ***
*** Suppression dossiers dans C:\Program Files ***
*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Suppression dossiers dans "C:\Documents and Settings\Cyril\application data" ***
*** Suppression dossiers dans "C:\Documents and Settings\Cyril\local settings\application data" ***
*** Suppression dossiers dans "C:\Documents and Settings\Cyril\MENUDM~1\PROGRA~1" ***
*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Suppression fichiers ***
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Cyril\local settings\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Suppression avec sauvegardes nouveaux fichiers Instant Access :
2)Recherche, création sauvegardes et suppression Heuristique :
* Dans C:\WINDOWS\system32 *
* Dans "C:\Documents and Settings\Cyril\local settings\application data" *
*** Sauvegarde du Registre vers dossier Backupnavi ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Certificats ***
Certificat Egroup absent !
*** Nettoyage terminé le 29.01.2008 à 19:24:45.01 ***
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 29.01.2008 a 19:36:00.01
Microsoft Windows XP [version 5.1.2600]
*** Suppression des fichiers dans C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\wintems.exe
Impossible de supprimer C:\WINDOWS\system32\wintems.exe
A voir également:
- Infecté par le virus win32 : Beagle - YN
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Impossible de terminer l'opération car le fichier contient un virus - Forum Virus
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
36 réponses
Lut'
Va sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
En bas de cette page tu trouveras un outil à télécharger, clique sur "Descargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
Vérifie que la case "eliminar ficheros automaticamente" est cochée
Clique sur "explorar" puis laisse-le travailler.
Puis poste moi le rapport situé dans C:\infosat.txt
a+
Va sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
En bas de cette page tu trouveras un outil à télécharger, clique sur "Descargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
Vérifie que la case "eliminar ficheros automaticamente" est cochée
Clique sur "explorar" puis laisse-le travailler.
Puis poste moi le rapport situé dans C:\infosat.txt
a+
Merci pour ton aide ! C'est vraiment sympa...
je suis tes instructions: voici le fichier
il a détecté qqch cependant à 3 reprises il m'a affiché un message genre 'peut pas accédé au fichier ....'
qu'en penses-tu
Tue Jan 29 20:13:42 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Tue Jan 29 20:14:36 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 9189
Nº Total de Ficheros: 101494
Nº de Ficheros Analizados: 12756
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0
je suis tes instructions: voici le fichier
il a détecté qqch cependant à 3 reprises il m'a affiché un message genre 'peut pas accédé au fichier ....'
qu'en penses-tu
Tue Jan 29 20:13:42 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Tue Jan 29 20:14:36 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 9189
Nº Total de Ficheros: 101494
Nº de Ficheros Analizados: 12756
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0
Re
Entre cyril c'est normal ;)
******************
Lance ton pc en MSE , avec prise en charge réseaux Afin d'avoir Internet. Puis cela fait ,
Va sur ce site , /!\ Internet Explorer obligatoire /!\ , Clique sur ' J'accepte ' , Installe les ActiveX si necessaire. Clique sur ' installer ' puis ' click here to scan '( ou : cliquez ici pour scanner ).
Et poste moi le rapport.
/!\ NE VA QUE SUR CE SITE /!\
Puis par le même occasion
Peux tu envoyer ce fichier " C:\Muestras\SROSA.SYS.Muestra EliBagle v10.93 " à l'adresse virus@satinfo.es ainsi que ce fichier " C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.93 " à la même adresse stp ?
a+
Entre cyril c'est normal ;)
******************
Lance ton pc en MSE , avec prise en charge réseaux Afin d'avoir Internet. Puis cela fait ,
Va sur ce site , /!\ Internet Explorer obligatoire /!\ , Clique sur ' J'accepte ' , Installe les ActiveX si necessaire. Clique sur ' installer ' puis ' click here to scan '( ou : cliquez ici pour scanner ).
Et poste moi le rapport.
/!\ NE VA QUE SUR CE SITE /!\
Puis par le même occasion
Peux tu envoyer ce fichier " C:\Muestras\SROSA.SYS.Muestra EliBagle v10.93 " à l'adresse virus@satinfo.es ainsi que ce fichier " C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.93 " à la même adresse stp ?
a+
sorry,
pas moyen d'établir une connexion internet avec cette machine...
as-tu une autre approche à proposer ?
je peux faire des transferts de fichiers via un disk externe
j'envoie les fichiers au site espagnol.
pas moyen d'établir une connexion internet avec cette machine...
as-tu une autre approche à proposer ?
je peux faire des transferts de fichiers via un disk externe
j'envoie les fichiers au site espagnol.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Okk , avant de lancer des programmes de désinfections puissants , fait ceci :
Télécharge HJT
Place le dans ' C:\programmes\ ' Une fois cela fait , merci de renommer le fichier ' Hijackthis.exe ( dans le dossier dans C:\ ) en HJT.exe
Puis lance-le et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport ( qui apparait sur le bloc-note )
A+
Télécharge HJT
Place le dans ' C:\programmes\ ' Une fois cela fait , merci de renommer le fichier ' Hijackthis.exe ( dans le dossier dans C:\ ) en HJT.exe
Puis lance-le et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport ( qui apparait sur le bloc-note )
A+
voila qqch d'intéressant:
htj.exe en mode sans échec (tel que installé avant) était invalidé mais après réinstallation en mode sans échec et il fait la détection
ca avance....
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:04:41, on 29.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [AppleTime] C:\WINDOWS\system32\AppleTime.exe
O4 - HKLM\..\Run: [Brightness] C:\WINDOWS\system32\Brightness.exe
O4 - HKLM\..\Run: [Apple_KbdMgr] "C:\Program Files\Apple Keyboard Support\KbdMgr.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinMem] C:\Program Files\WinCleaner Memory Optimizer\WinMemOpt.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-1214440339-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPFL VPN Client.lnk = C:\Program Files\EPFL\VPN Client\vpngui.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ArcGIS License Manager - Unknown owner - C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\EPFL\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe
htj.exe en mode sans échec (tel que installé avant) était invalidé mais après réinstallation en mode sans échec et il fait la détection
ca avance....
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:04:41, on 29.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [AppleTime] C:\WINDOWS\system32\AppleTime.exe
O4 - HKLM\..\Run: [Brightness] C:\WINDOWS\system32\Brightness.exe
O4 - HKLM\..\Run: [Apple_KbdMgr] "C:\Program Files\Apple Keyboard Support\KbdMgr.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinMem] C:\Program Files\WinCleaner Memory Optimizer\WinMemOpt.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-1214440339-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPFL VPN Client.lnk = C:\Program Files\EPFL\VPN Client\vpngui.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ArcGIS License Manager - Unknown owner - C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\EPFL\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe
Bonsoir J'ai le même pb
J'ai fait la même manip et voici le fichier:
Tue Jan 29 23:03:24 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Tue Jan 29 23:03:49 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\14597546.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\29082046.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\43560218.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\58055140.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\67000.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\72546250.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\73390.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\867843.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\90637031.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\90653015.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 3202
Nº Total de Ficheros: 31537
Nº de Ficheros Analizados: 8473
Nº de Ficheros Infectados: 10
Nº de Ficheros Limpiados: 10
Que dois-je faire maintenant?
merci de ta réponse
J'ai fait la même manip et voici le fichier:
Tue Jan 29 23:03:24 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Tue Jan 29 23:03:49 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\14597546.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\29082046.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\43560218.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\58055140.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\67000.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\72546250.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\73390.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\867843.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\90637031.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\90653015.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 3202
Nº Total de Ficheros: 31537
Nº de Ficheros Analizados: 8473
Nº de Ficheros Infectados: 10
Nº de Ficheros Limpiados: 10
Que dois-je faire maintenant?
merci de ta réponse
Re
Rien de visible dans ton log Hijackthis ... :/
Merci de télécharger et de lancer l'un après l'autre ( pas les 2 en même temps )
https://www.broadcom.com/support/security-center
Puis
https://www.broadcom.com/support/security-center
Puis poste les rapports si il y a.
A+
Rien de visible dans ton log Hijackthis ... :/
Merci de télécharger et de lancer l'un après l'autre ( pas les 2 en même temps )
https://www.broadcom.com/support/security-center
Puis
https://www.broadcom.com/support/security-center
Puis poste les rapports si il y a.
A+
voici pour fxbeagle
je teste l'autre !
j'ai fais à l'envers, c'est pas grave j'espère ?
W32.Beagle@mm/Trojan.Tooso FixTool 1.13.0
C:\Documents and Settings\Cyril\Mes documents\Ma musique\iTunes\iTunes Music\Johann Sebastian Bach\??? ???????????-?????? 2: (not scanned)
C:\Program Files\Rhinoceros 4.0\Tutorials(??): (not scanned)
C:\System Volume Information: (not scanned)
W32.Beagle, Trojan.Tooso have not been found on your computer.
je teste l'autre !
j'ai fais à l'envers, c'est pas grave j'espère ?
W32.Beagle@mm/Trojan.Tooso FixTool 1.13.0
C:\Documents and Settings\Cyril\Mes documents\Ma musique\iTunes\iTunes Music\Johann Sebastian Bach\??? ???????????-?????? 2: (not scanned)
C:\Program Files\Rhinoceros 4.0\Tutorials(??): (not scanned)
C:\System Volume Information: (not scanned)
W32.Beagle, Trojan.Tooso have not been found on your computer.
he bien non...
je suis un peu déçu !
il ne trouve pas
C:\Documents and Settings\Cyril\Mes documents\Ma musique\iTunes\iTunes Music\Johann Sebastian Bach\??? ???????????-?????? 2: (not scanned)
C:\Program Files\Rhinoceros 4.0\Tutorials(??): (not scanned)
C:\System Volume Information: (not scanned)
F:\downloads\Rhino v4.0 full.2 crks.All tutorials & Docs ENG ONLY\Tutorials(??): (not scanned)
W32.Beagle.[M-O] has not been found on your computer.
as tu d'autres astuces en stock ?
je suis un peu déçu !
il ne trouve pas
C:\Documents and Settings\Cyril\Mes documents\Ma musique\iTunes\iTunes Music\Johann Sebastian Bach\??? ???????????-?????? 2: (not scanned)
C:\Program Files\Rhinoceros 4.0\Tutorials(??): (not scanned)
C:\System Volume Information: (not scanned)
F:\downloads\Rhino v4.0 full.2 crks.All tutorials & Docs ENG ONLY\Tutorials(??): (not scanned)
W32.Beagle.[M-O] has not been found on your computer.
as tu d'autres astuces en stock ?
Re
Télécharge http://www.f-secure.com/tools/f-bagle.exe , enregistre-le sur ton bureau.
Double clique sur l'icône jaune -> Une fenêtre noire va s'ouvrir , laisse-la travailler.
Puis poste moi le rapport si il y a.
a+
Télécharge http://www.f-secure.com/tools/f-bagle.exe , enregistre-le sur ton bureau.
Double clique sur l'icône jaune -> Une fenêtre noire va s'ouvrir , laisse-la travailler.
Puis poste moi le rapport si il y a.
a+
