10 réponses
slt
tu dois etre infécté par bagle!
------------
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
-----------
Fais DEMARRER puis EXECUTER et tape mrt puis clique sur ok et suis la procedure
----------
* Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.
* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
* Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse
------------
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
secuser en ligne :
http://www.secuser.com/outils/antivirus.htm
scan en ligne firefox
https://www.trendmicro.com/fr_fr/business.html
tu dois etre infécté par bagle!
------------
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
-----------
Fais DEMARRER puis EXECUTER et tape mrt puis clique sur ok et suis la procedure
----------
* Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.
* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
* Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse
------------
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
secuser en ligne :
http://www.secuser.com/outils/antivirus.htm
scan en ligne firefox
https://www.trendmicro.com/fr_fr/business.html
refais combofix car il a eu une erreur puis passe a la suite
hello, moi je te conseil ma technique antibagle qui a fait ses preuves... en effet elle réalise un taux de reussite de pres de 95% .... il faut cependant la respecter à la lettre. En effet à chaque fois que tu vas suprimer des fichiers ils vont revenir par internet....
Fais comme suit si tu me donnes ta confiance:
IMPRIMES CECI TU EN AURAS PLUS ACCES DURANT LA MANIPULATION
tu es infecté par beagle Souvent c'est du a un téléchargement de crack.... donc première chose à faire supprimer le crack et désinstaller le programme craké. Et supprimer le répertoire d’installation c (ou d)/program files/xxxxxx.
Télécharge ELIBAGLA en bas de cette page < http://www.zonavirus.com/datos/descargas/95/elibagla.asp >
• Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place le sur le bureau.
Télécharge ComboFix.exe (par sUBs) sur ton Bureau comme ceci strictement :
Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
Puis choisis "Enregistrer sous .." ==> vers le 'bureau"
==> Attention : renomme-le sous le nom Antibagle (très important).
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard.
Puis clic sur [Enregistrer]
Télécharge. F-Secure Blacklight
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
Débranches internet (hyper important !!!)
Clic droir sur Iexplore 7/ propriétés/ suprimer.. ; (sans historique de navigation/ tout suprimer/ et cocher la case suprimer ds les modules complémentaires.
Double-clique sur elibagla pour l'ouvrir.
• Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\
• Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
• Clique sur le bouton Explorar pour lancer l'analyse.
Fais la même chose avec le D :
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 (ou Yes) puis [Enter] .
Accepter les alertes éventuelles.
Laisse se dérouler le scan.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\ recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau.
Fais de même avec f Secure back light
une fois terminé il faut purger les restauration système démarrer/panneau de config/système/restauration système/ et âpres sélectionne désactivez la restauration ca va chargé une fois le chargement terminé (30 sec environ) tu désactive l’option.
EN théorie l’infection est terminée
Sinon et bien redémarres en mode sans échec
Vas dans C/Windows/System 32 ET supprimes Mdelk manuellement.
Et réutiliser les 3 logiciels plus hauts
Fais comme suit si tu me donnes ta confiance:
IMPRIMES CECI TU EN AURAS PLUS ACCES DURANT LA MANIPULATION
tu es infecté par beagle Souvent c'est du a un téléchargement de crack.... donc première chose à faire supprimer le crack et désinstaller le programme craké. Et supprimer le répertoire d’installation c (ou d)/program files/xxxxxx.
Télécharge ELIBAGLA en bas de cette page < http://www.zonavirus.com/datos/descargas/95/elibagla.asp >
• Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place le sur le bureau.
Télécharge ComboFix.exe (par sUBs) sur ton Bureau comme ceci strictement :
Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
Puis choisis "Enregistrer sous .." ==> vers le 'bureau"
==> Attention : renomme-le sous le nom Antibagle (très important).
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard.
Puis clic sur [Enregistrer]
Télécharge. F-Secure Blacklight
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
Débranches internet (hyper important !!!)
Clic droir sur Iexplore 7/ propriétés/ suprimer.. ; (sans historique de navigation/ tout suprimer/ et cocher la case suprimer ds les modules complémentaires.
Double-clique sur elibagla pour l'ouvrir.
• Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\
• Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
• Clique sur le bouton Explorar pour lancer l'analyse.
Fais la même chose avec le D :
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 (ou Yes) puis [Enter] .
Accepter les alertes éventuelles.
Laisse se dérouler le scan.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\ recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau.
Fais de même avec f Secure back light
une fois terminé il faut purger les restauration système démarrer/panneau de config/système/restauration système/ et âpres sélectionne désactivez la restauration ca va chargé une fois le chargement terminé (30 sec environ) tu désactive l’option.
EN théorie l’infection est terminée
Sinon et bien redémarres en mode sans échec
Vas dans C/Windows/System 32 ET supprimes Mdelk manuellement.
Et réutiliser les 3 logiciels plus hauts
Bonsoir papimarcel
J'aurais juste une à te poser sur cette technique, car tu as l'air de bien connaître Bagle et si tu acceptes d'y répondre bien sur.
En reposant uniquement la désinfection sur ELIBAGLA et Combo, et sachant que Bagle en plus de créer et télécharger ses propres fichiers, infecte aussi un programme sain du démarrage, comment faire si Elibagla n'intègre pas encore la détection de ce dernier ?
Malgrès un combo dans la foulée ce sera une réinfection systématique au redémarrage, non ?
@++
J'aurais juste une à te poser sur cette technique, car tu as l'air de bien connaître Bagle et si tu acceptes d'y répondre bien sur.
En reposant uniquement la désinfection sur ELIBAGLA et Combo, et sachant que Bagle en plus de créer et télécharger ses propres fichiers, infecte aussi un programme sain du démarrage, comment faire si Elibagla n'intègre pas encore la détection de ce dernier ?
Malgrès un combo dans la foulée ce sera une réinfection systématique au redémarrage, non ?
@++
excusez moi , j'ai evidement comme beaucoup de francais regardé les resultats de ce scrutin.
LA reponse est non . Je connais effectivement bien bagle puisque je l'ai moi meme eu et j'ai eu l'occasion d'aider certains utilisateurs puisqu'à 19h15 j'ai eu la joie d'apprendre qu'un utilisateur ayant suivit la manip a reussi en moins d'1/2h à s'en débarasser.
Alors euh pour être simple les vecteurs d'infection sont les suivants :
le programme craké , c'est pour cela qu'il est nécessaire avant tout traitement de le désinstaller et de suprimer son répertoire d'installation.
internet evidement , si je dis de suprimer les fichiers temporaires ce n'est aps pour faire mumuse à chaque fois que tu te connectes sur internet des sites pirates te renvoient l'infection.
Ce qu'il faut savoir c'est que le virus si internet est coupé se régénere lors du démarrage de l'ordinateur principalement.
Elibagla va suprimer les fichiers qui paralysent ton ordinateur mais des rootkit toujours présent risque de régénérer le probleme c'est pourquoi l'utilisattion de combofix conjuguée à fsecure black light apporte des resultats satisfaisant
enfin il faut imperativement purger al restauration systeme sinno l'infection risque de repartir.
EN clair procèdes comme suit.
L'idéal etant totu de meme de suprimer mdelk.exe dans system 32 en mode sans echec manuellement mais le virus bloque souvent le mode sans echec (ecran bleu) et il n'est donc aps possible d'avoir de bons resultats.
Fais comme indiqué sur le tuto , meme si tu as déja fait elibagla , il faut refaire internet coupé , car tu les a suprimé certes mais comme tu té connecté à internet avant la fin de l'infection , tout est reparti et tu risques de tourner en rond.
LA reponse est non . Je connais effectivement bien bagle puisque je l'ai moi meme eu et j'ai eu l'occasion d'aider certains utilisateurs puisqu'à 19h15 j'ai eu la joie d'apprendre qu'un utilisateur ayant suivit la manip a reussi en moins d'1/2h à s'en débarasser.
Alors euh pour être simple les vecteurs d'infection sont les suivants :
le programme craké , c'est pour cela qu'il est nécessaire avant tout traitement de le désinstaller et de suprimer son répertoire d'installation.
internet evidement , si je dis de suprimer les fichiers temporaires ce n'est aps pour faire mumuse à chaque fois que tu te connectes sur internet des sites pirates te renvoient l'infection.
Ce qu'il faut savoir c'est que le virus si internet est coupé se régénere lors du démarrage de l'ordinateur principalement.
Elibagla va suprimer les fichiers qui paralysent ton ordinateur mais des rootkit toujours présent risque de régénérer le probleme c'est pourquoi l'utilisattion de combofix conjuguée à fsecure black light apporte des resultats satisfaisant
enfin il faut imperativement purger al restauration systeme sinno l'infection risque de repartir.
EN clair procèdes comme suit.
L'idéal etant totu de meme de suprimer mdelk.exe dans system 32 en mode sans echec manuellement mais le virus bloque souvent le mode sans echec (ecran bleu) et il n'est donc aps possible d'avoir de bons resultats.
Fais comme indiqué sur le tuto , meme si tu as déja fait elibagla , il faut refaire internet coupé , car tu les a suprimé certes mais comme tu té connecté à internet avant la fin de l'infection , tout est reparti et tu risques de tourner en rond.
Salut et respect mOe
Et merci pour cette question posée à notre illuminé de CCM
Il n'y a rien d'innovant dans sa réponse.
Le contraire m'eut étonné.
As-tu vu ceci ?
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"="C:\\WINDOWS\\system32\\drivers\\hldrrr.exe"
"german.exe"="C:\\WINDOWS\\system32\\wintems.exe"
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]
"ImagePath"="\??\C:\WINDOWS\system32\drivers\srosa.sys"
Décidément, il vise toutes les failles dans le PC (à la manière d'un antivirus par exemple)
Bonne nuit
Al.
Et merci pour cette question posée à notre illuminé de CCM
Il n'y a rien d'innovant dans sa réponse.
Le contraire m'eut étonné.
As-tu vu ceci ?
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"="C:\\WINDOWS\\system32\\drivers\\hldrrr.exe"
"german.exe"="C:\\WINDOWS\\system32\\wintems.exe"
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]
"ImagePath"="\??\C:\WINDOWS\system32\drivers\srosa.sys"
Décidément, il vise toutes les failles dans le PC (à la manière d'un antivirus par exemple)
Bonne nuit
Al.
Bonsoir Albert
No comment... :-)
Oui j'ai vu, lorsque la partie rootkit (srosa.sys) de l'infection est active, ces clés sont normalement invisibles dans le registre.
Elles correspondent respectivement aux 04 qui permettent à certains des fichiers infectieux de s'exécuter après reboot ainsi qu'au service "srosa" qui charge srosa.sys.
Mais, tu connaissais déjà ces clés sous cette forme, non ?
@++ et bonne fin de soirée.
No comment... :-)
Oui j'ai vu, lorsque la partie rootkit (srosa.sys) de l'infection est active, ces clés sont normalement invisibles dans le registre.
Elles correspondent respectivement aux 04 qui permettent à certains des fichiers infectieux de s'exécuter après reboot ainsi qu'au service "srosa" qui charge srosa.sys.
Mais, tu connaissais déjà ces clés sous cette forme, non ?
@++ et bonne fin de soirée.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re, mOe
Cit. « Mais, tu connaissais déjà ces clés sous cette forme, non ? »
Oui, je les avais répertoriées déjà. Merci
Mais j'accorde de l'intérêt au fait que Beagle doit être doté d'une capacité à analyser le PC pour finalement se loger dans des failles de sécurité collectées :
- C:\Program Files\Le Robert\Le Petit Robert\PRHYPER.EXE --> Eliminado Bagle.dldr
- D:\Documents and Settings\JJ\Application Data\CDROMSITE\NURB THIRD.EXE --> Eliminado Bagle.dldr
- LASCARS - PV.ZIP -> BagleZEUB KI CHANTE.ZIP
- C:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BACKWEB-8876480.EXE --> Eliminado Bagle.dldr
Par contre, ce que je n'avais pas rencontré, ce sont ces clés comme je le fais remarquer à Lyonnais92 ici: < http://www.commentcamarche.net/forum/affich 5474062 n est pas une application win32 valide#12 >.
En effet, je m'étonne de l'absence de "Shell" dans cette clé:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34cf140f-b11b-11db-89a9-4d6564696130}]
AutoRun\command- F:\b.com
explore\Command- F:\b.com
open\Command- F:\b.com
J'avais croisé un cas analogue déjà, souviens-toi, mais où la clé était par exemple comme ceci:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bc0b621-d367-11dc-b3e4-00038a000015}]
\Shell\AutoRun\command - G:\x.com
\Shell\explore\Command - G:\x.com
\Shell\open\Command - G:\x.com
Ce qui devait relancer "G:\x6.bat" ==> si je réfléchis correctement ==> corrige si je me trompe SVP.
(x.com relancerait "AMVA" qui est en "G:\x6.bat")
Le script fix.reg est commode dans ce cas; il suffit de faire :
Regedit4
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bc0b621-d367-11dc-b3e4-00038a000015}\Shell]
Mais dans le cas sus-cité (sans présence de Shell) je pense que nous devrons nous forcer à faire comme ceci, carrément:
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34cf140f-b11b-11db-89a9-4d6564696130}]
Qu'en penses-tu ?
Bonne nuit
Je me glisse au plumard
à+..
Al
Cit. « Mais, tu connaissais déjà ces clés sous cette forme, non ? »
Oui, je les avais répertoriées déjà. Merci
Mais j'accorde de l'intérêt au fait que Beagle doit être doté d'une capacité à analyser le PC pour finalement se loger dans des failles de sécurité collectées :
- C:\Program Files\Le Robert\Le Petit Robert\PRHYPER.EXE --> Eliminado Bagle.dldr
- D:\Documents and Settings\JJ\Application Data\CDROMSITE\NURB THIRD.EXE --> Eliminado Bagle.dldr
- LASCARS - PV.ZIP -> BagleZEUB KI CHANTE.ZIP
- C:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BACKWEB-8876480.EXE --> Eliminado Bagle.dldr
Par contre, ce que je n'avais pas rencontré, ce sont ces clés comme je le fais remarquer à Lyonnais92 ici: < http://www.commentcamarche.net/forum/affich 5474062 n est pas une application win32 valide#12 >.
En effet, je m'étonne de l'absence de "Shell" dans cette clé:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34cf140f-b11b-11db-89a9-4d6564696130}]
AutoRun\command- F:\b.com
explore\Command- F:\b.com
open\Command- F:\b.com
J'avais croisé un cas analogue déjà, souviens-toi, mais où la clé était par exemple comme ceci:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bc0b621-d367-11dc-b3e4-00038a000015}]
\Shell\AutoRun\command - G:\x.com
\Shell\explore\Command - G:\x.com
\Shell\open\Command - G:\x.com
Ce qui devait relancer "G:\x6.bat" ==> si je réfléchis correctement ==> corrige si je me trompe SVP.
(x.com relancerait "AMVA" qui est en "G:\x6.bat")
Le script fix.reg est commode dans ce cas; il suffit de faire :
Regedit4
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bc0b621-d367-11dc-b3e4-00038a000015}\Shell]
Mais dans le cas sus-cité (sans présence de Shell) je pense que nous devrons nous forcer à faire comme ceci, carrément:
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34cf140f-b11b-11db-89a9-4d6564696130}]
Qu'en penses-tu ?
Bonne nuit
Je me glisse au plumard
à+..
Al
Salut Afideg
Pour Bagle c'est beaucoup plus simple dans la démarche en fait.
Il scrute les clés de démarrage :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
et
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
S'il trouve une entrée (valide ou pas d'ailleurs), il écrase le fichier existant ou en crée un du même non s'il n'existe pas.
Par exemple, ces fichiers normalement sains ont été "écrasés" par Bagle, simplement car ils étaient sensés s'exécuter au démarrage:
- C:\Program Files\Le Robert\Le Petit Robert\PRHYPER.EXE --> Eliminado Bagle.dldr
- C:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BACKWEB-8876480.EXE --> Eliminado Bagle.dldr
Il y a un mois de çà, j'avais fait une petite vidéo qui montre cette étape particulière de l'infection si ça t'interesse :
http://perso.orange.fr/aeternum/Miscs/Bagle_Startup.avi
Après avoir crée une entrée dans le registre pour le fichier autoruns.exe (l'outil sysinternal), tu pourras voir que Bagle l'infecte dès l'exécution du faux crack.
Pour les clés que tu cite, ça m'étonnerait fort qu'il n'y ait pas de "Shell", peut être est-ce du juste à la mise en forme du rapport qui a changée ?
Avec un outil de recherche dans le registre ou en faisant exporter la clé, tu en auras le coeur net je pense.
Dans ton exemple ça pourrait donner ceci pour exporter la clé :
regedit /E C:\key.txt HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bc0b621-d367-11dc-b3e4-00038a000015}
Le contenu sera stocké dans le fichier C:\key.txt
Par contre, rien ne sert de vouloir corriger cette entrée si le fichier autorun.inf est encore présent sur le média concerné.
Normalement il n'y a aucun risque à utiliser les deux versions de ton fix.reg :
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bc0b621-d367-11dc-b3e4-00038a000015}\Shell]
ou
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bc0b6621-d367-11dc-b3e4-00038a000015}]
La finalité est quasiment la même, bien que pour ma part je préfère juste virer le "shell".
Si éventuellement le reg ne fonctionne pas tu peux essayer avant d'envisager une suppression manuelle de remplacer REGEDIT4 par Windows Registry Editor Version 5.00 à la place.
Sinon, c'est toujours le fichier mentionné dans l'autorun qui sera exécuté en premier lors de l'exécution automatique :
explore\Command- F:\b.com <- clic droit explorer relance l'infection
open\Command- F:\b.com <- clic droit ouvrir/double clic relance l'infection
Dans ce cas, c'est F:\b.com qui est chargé d'installer (dropper) l'infection et/ou copier et exécuter d'autre fichiers infectieux présents eux aussi dans le média infecté, comme tu l'as déduit.
Une fois l'infection active c'est un peu le cercle vicieux car elle cherchera à son tour ensuite à se copier sur les médias connectés à ce moment là.
Voilà, en espérant que ça réponde à tes questions.
Bonne continuation.
@++
Pour Bagle c'est beaucoup plus simple dans la démarche en fait.
Il scrute les clés de démarrage :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
et
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
S'il trouve une entrée (valide ou pas d'ailleurs), il écrase le fichier existant ou en crée un du même non s'il n'existe pas.
Par exemple, ces fichiers normalement sains ont été "écrasés" par Bagle, simplement car ils étaient sensés s'exécuter au démarrage:
- C:\Program Files\Le Robert\Le Petit Robert\PRHYPER.EXE --> Eliminado Bagle.dldr
- C:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BACKWEB-8876480.EXE --> Eliminado Bagle.dldr
Il y a un mois de çà, j'avais fait une petite vidéo qui montre cette étape particulière de l'infection si ça t'interesse :
http://perso.orange.fr/aeternum/Miscs/Bagle_Startup.avi
Après avoir crée une entrée dans le registre pour le fichier autoruns.exe (l'outil sysinternal), tu pourras voir que Bagle l'infecte dès l'exécution du faux crack.
Pour les clés que tu cite, ça m'étonnerait fort qu'il n'y ait pas de "Shell", peut être est-ce du juste à la mise en forme du rapport qui a changée ?
Avec un outil de recherche dans le registre ou en faisant exporter la clé, tu en auras le coeur net je pense.
Dans ton exemple ça pourrait donner ceci pour exporter la clé :
regedit /E C:\key.txt HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bc0b621-d367-11dc-b3e4-00038a000015}
Le contenu sera stocké dans le fichier C:\key.txt
Par contre, rien ne sert de vouloir corriger cette entrée si le fichier autorun.inf est encore présent sur le média concerné.
Normalement il n'y a aucun risque à utiliser les deux versions de ton fix.reg :
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bc0b621-d367-11dc-b3e4-00038a000015}\Shell]
ou
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bc0b6621-d367-11dc-b3e4-00038a000015}]
La finalité est quasiment la même, bien que pour ma part je préfère juste virer le "shell".
Si éventuellement le reg ne fonctionne pas tu peux essayer avant d'envisager une suppression manuelle de remplacer REGEDIT4 par Windows Registry Editor Version 5.00 à la place.
Sinon, c'est toujours le fichier mentionné dans l'autorun qui sera exécuté en premier lors de l'exécution automatique :
explore\Command- F:\b.com <- clic droit explorer relance l'infection
open\Command- F:\b.com <- clic droit ouvrir/double clic relance l'infection
Dans ce cas, c'est F:\b.com qui est chargé d'installer (dropper) l'infection et/ou copier et exécuter d'autre fichiers infectieux présents eux aussi dans le média infecté, comme tu l'as déduit.
Une fois l'infection active c'est un peu le cercle vicieux car elle cherchera à son tour ensuite à se copier sur les médias connectés à ce moment là.
Voilà, en espérant que ça réponde à tes questions.
Bonne continuation.
@++
Bonjour mOe
Un grand merci. => surprenant en effet pour l'absence de "Shell" dans la clé ?
J'ai enregistré ta réponse.
Tu peux, si tu le souhaites, l'effacer.
PS ==> ton lien "video" : http://img299.imageshack.us/img299/1906/screenshot300st3.png
Respectueusement
Albert
Un grand merci. => surprenant en effet pour l'absence de "Shell" dans la clé ?
J'ai enregistré ta réponse.
Tu peux, si tu le souhaites, l'effacer.
PS ==> ton lien "video" : http://img299.imageshack.us/img299/1906/screenshot300st3.png
Respectueusement
Albert
Salut Afideg
De rien, c'est avec plaisir.
Soucis avec la vidéo en effet, as-tu essayé de faire un clic droit "enregistrer le lien sous" puis de lancer le fichier téléchargé, plutôt que de cliquer sur le lien directement ?
Tiens moi au courant en tout cas, si jamais ça ne marche toujours pas je la réencoderais.
Bonne continuation.
De rien, c'est avec plaisir.
Soucis avec la vidéo en effet, as-tu essayé de faire un clic droit "enregistrer le lien sous" puis de lancer le fichier téléchargé, plutôt que de cliquer sur le lien directement ?
Tiens moi au courant en tout cas, si jamais ça ne marche toujours pas je la réencoderais.
Bonne continuation.
ComboFix 08-03-14.4 - Administrador 2008-03-16 13:25:27.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.197 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\Administrador\Escritorio\Combo-Fix.exe
[color=red][b]ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION! [/b][/color]
.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\down\100437.exe
C:\WINDOWS\system32\drivers\down\101156.exe
C:\WINDOWS\system32\drivers\down\105671.exe
C:\WINDOWS\system32\drivers\down\113109.exe
C:\WINDOWS\system32\drivers\down\157625.exe
C:\WINDOWS\system32\drivers\down\158765.exe
C:\WINDOWS\system32\drivers\down\170421.exe
C:\WINDOWS\system32\drivers\down\176671.exe
C:\WINDOWS\system32\drivers\down\177671.exe
C:\WINDOWS\system32\drivers\down\180640.exe
C:\WINDOWS\system32\drivers\down\187375.exe
C:\WINDOWS\system32\drivers\down\187906.exe
C:\WINDOWS\system32\drivers\down\190859.exe
C:\WINDOWS\system32\drivers\down\196968.exe
C:\WINDOWS\system32\drivers\down\209375.exe
C:\WINDOWS\system32\drivers\down\210765.exe
C:\WINDOWS\system32\drivers\down\216812.exe
C:\WINDOWS\system32\drivers\down\219515.exe
C:\WINDOWS\system32\drivers\down\222375.exe
C:\WINDOWS\system32\drivers\down\2269828.exe
C:\WINDOWS\system32\drivers\down\2271046.exe
C:\WINDOWS\system32\drivers\down\2288046.exe
C:\WINDOWS\system32\drivers\down\2288640.exe
C:\WINDOWS\system32\drivers\down\2288828.exe
C:\WINDOWS\system32\drivers\down\2292906.exe
C:\WINDOWS\system32\drivers\down\2307984.exe
C:\WINDOWS\system32\drivers\down\2313468.exe
C:\WINDOWS\system32\drivers\down\231453.exe
C:\WINDOWS\system32\drivers\down\2336328.exe
C:\WINDOWS\system32\drivers\down\233750.exe
C:\WINDOWS\system32\drivers\down\233765.exe
C:\WINDOWS\system32\drivers\down\2344531.exe
C:\WINDOWS\system32\drivers\down\2347421.exe
C:\WINDOWS\system32\drivers\down\2351312.exe
C:\WINDOWS\system32\drivers\down\236250.exe
C:\WINDOWS\system32\drivers\down\2363359.exe
C:\WINDOWS\system32\drivers\down\2370921.exe
C:\WINDOWS\system32\drivers\down\2372484.exe
C:\WINDOWS\system32\drivers\down\2373843.exe
C:\WINDOWS\system32\drivers\down\2378156.exe
C:\WINDOWS\system32\drivers\down\238859.exe
C:\WINDOWS\system32\drivers\down\240562.exe
C:\WINDOWS\system32\drivers\down\241546.exe
C:\WINDOWS\system32\drivers\down\241625.exe
C:\WINDOWS\system32\drivers\down\2416250.exe
C:\WINDOWS\system32\drivers\down\2421625.exe
C:\WINDOWS\system32\drivers\down\245546.exe
C:\WINDOWS\system32\drivers\down\279562.exe
C:\WINDOWS\system32\drivers\down\283031.exe
C:\WINDOWS\system32\drivers\down\285328.exe
C:\WINDOWS\system32\drivers\down\2869343.exe
C:\WINDOWS\system32\drivers\down\2872218.exe
C:\WINDOWS\system32\drivers\down\2878421.exe
C:\WINDOWS\system32\drivers\down\288375.exe
C:\WINDOWS\system32\drivers\down\2899765.exe
C:\WINDOWS\system32\drivers\down\2905875.exe
C:\WINDOWS\system32\drivers\down\2907890.exe
C:\WINDOWS\system32\drivers\down\2911031.exe
C:\WINDOWS\system32\drivers\down\2921281.exe
C:\WINDOWS\system32\drivers\down\2926171.exe
C:\WINDOWS\system32\drivers\down\2928515.exe
C:\WINDOWS\system32\drivers\down\2930203.exe
C:\WINDOWS\system32\drivers\down\2933703.exe
C:\WINDOWS\system32\drivers\down\2970015.exe
C:\WINDOWS\system32\drivers\down\2975062.exe
C:\WINDOWS\system32\drivers\down\653984.exe
C:\WINDOWS\system32\drivers\down\675453.exe
C:\WINDOWS\system32\drivers\down\681484.exe
C:\WINDOWS\system32\drivers\down\684406.exe
C:\WINDOWS\system32\drivers\down\689093.exe
C:\WINDOWS\system32\drivers\down\702328.exe
C:\WINDOWS\system32\drivers\down\711281.exe
C:\WINDOWS\system32\drivers\down\715718.exe
C:\WINDOWS\system32\drivers\down\716703.exe
C:\WINDOWS\system32\drivers\down\721000.exe
C:\WINDOWS\system32\drivers\down\759140.exe
C:\WINDOWS\system32\drivers\down\764453.exe
C:\WINDOWS\system32\drivers\down\78140.exe
C:\WINDOWS\system32\drivers\down\79265.exe
C:\WINDOWS\system32\drivers\down\83859.exe
C:\WINDOWS\system32\drivers\down\86171.exe
C:\WINDOWS\system32\drivers\down\96765.exe
C:\WINDOWS\system32\drivers\hldrrr.exe . . . . Fallo al eliminar
C:\WINDOWS\system32\drivers\srosa.sys . . . . Fallo al eliminar
C:\WINDOWS\system32\mdelk.exe . . . . Fallo al eliminar
C:\WINDOWS\system32\wintems.exe . . . . Fallo al eliminar
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_SROSA
(((((((((((((((((( Archivos creados desde 2008-02-16 - 2008-03-16 )))))))))))))))))))))))))))))))))
.
2008-03-16 13:27 . 2008-03-16 13:27 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-03-16 13:27 . 2008-03-16 13:27 <DIR> d-------- C:\Archivos de programa\microsoft frontpage
2008-03-16 01:44 . 2008-03-16 01:44 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-03-16 01:43 . 2008-03-16 01:43 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\CyberLink
2008-03-16 00:13 . 2008-03-16 13:26 71,684 --------- C:\WINDOWS\system32\mdelk.exe
2008-03-15 18:00 . 2008-03-15 18:00 <DIR> d-------- C:\Documents and Settings\Administrador\Contacts
2008-03-15 17:43 . 2008-03-15 17:43 1,186 --a------ C:\WINDOWS\mozver.dat
2008-03-15 17:32 . 2008-03-15 17:34 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-03-15 17:24 . 2008-03-15 17:24 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\TuneUp Software
2008-03-15 17:24 . 2008-03-15 17:24 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\TuneUp Software
2008-03-15 17:24 . 2008-03-15 17:24 <DIR> d-------- C:\Archivos de programa\TuneUp Utilities 2008
2008-03-15 17:24 . 2008-03-15 17:24 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-03-15 17:24 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-03-15 17:23 . 2008-03-15 17:23 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-03-15 17:20 . 2008-03-15 17:20 <DIR> d-------- C:\Archivos de programa\eMule
2008-03-15 17:14 . 2008-03-15 17:14 244 --ah----- C:\sqmnoopt00.sqm
2008-03-15 17:14 . 2008-03-15 17:14 232 --ah----- C:\sqmdata00.sqm
2008-03-15 17:11 . 2008-03-15 17:11 <DIR> d--hs---- C:\Archivos de programa\Archivos comunes\WindowsLiveInstaller
2008-03-15 17:10 . 2008-03-15 17:10 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\WLInstaller
2008-03-15 17:10 . 2008-03-15 17:10 <DIR> d-------- C:\Archivos de programa\Windows Live
2008-03-15 16:59 . 2008-03-15 16:59 <DIR> d-------- C:\Documents and Settings\All Users\Menu D‚marrer
2008-03-15 16:58 . 2007-01-21 20:50 86,016 --a------ C:\WINDOWS\osd.exe
2008-03-15 16:58 . 2008-03-16 13:27 150 --a------ C:\WINDOWS\lvkosd.ini
2008-03-15 16:56 . 2008-03-15 16:56 <DIR> d--hs---- C:\Recycled
2008-03-15 16:33 . 2008-03-15 16:33 <DIR> d-------- C:\Archivos de programa\MSN Toolbar
2008-03-15 16:26 . 2008-03-15 16:26 0 --a------ C:\WINDOWS\nsreg.dat
2008-03-15 16:25 . 2007-04-02 03:36 546,304 --------- C:\WINDOWS\system32\dllcache\hhctrl.ocx
2008-03-15 16:24 . 2007-07-09 10:19 582,656 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-03-15 16:07 . 2008-03-15 16:07 <DIR> d-------- C:\Archivos de programa\Alwil Software
2008-03-15 16:07 . 2007-12-04 10:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-03-15 16:07 . 2004-01-09 06:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-03-15 16:07 . 2007-12-04 09:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-03-15 16:07 . 2007-12-04 11:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-15 16:07 . 2007-12-04 11:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-03-15 16:07 . 2007-12-04 11:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-15 16:07 . 2007-12-04 11:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-15 16:07 . 2007-12-04 11:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-15 16:06 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2008-03-15 16:05 . 2008-03-15 16:05 <DIR> d-------- C:\Archivos de programa\Microsoft SQL Server Compact Edition
2008-03-15 15:49 . 2008-03-15 15:49 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Media Player Classic
2008-03-15 15:49 . 2008-03-15 17:57 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-03-14 09:31 . 2008-03-14 09:31 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\XnView
2008-03-13 20:26 . 2008-03-13 20:26 <DIR> d-------- C:\Archivos de programa\Realtek
2008-03-13 20:26 . 2007-07-26 17:09 520,192 --a------ C:\WINDOWS\RtlExUpd.dll
2008-03-13 20:26 . 2008-03-13 20:26 315,392 --a------ C:\WINDOWS\HideWin.exe
2008-03-13 20:26 . 2006-08-01 15:02 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe
2008-03-13 20:26 . 2008-03-13 20:27 0 --a------ C:\WINDOWS\_delis32.ini
2008-03-13 20:24 . 2007-04-16 12:53 188,416 --a------ C:\WINDOWS\system32\igfxres.dll
2008-03-13 20:23 . 2008-03-13 20:23 <DIR> d-------- C:\Archivos de programa\Driver
2008-03-13 20:20 . 2005-03-16 03:23 13,696 -ra------ C:\WINDOWS\system32\drivers\BIOS.sys
2008-03-13 20:17 . 2008-03-13 20:17 <DIR> d-------- C:\WINDOWS\system32\DRVSTORE
2008-03-13 20:17 . 2006-08-28 10:29 <DIR> d-------- C:\Archivos de programa\Windows Live Safety Center
2008-03-13 20:17 . 2008-03-13 20:17 <DIR> d-------- C:\Archivos de programa\Winamp
2008-03-13 20:17 . 2008-03-13 20:17 <DIR> d-------- C:\Archivos de programa\Unlocker
2008-03-13 20:16 . 2008-03-13 20:16 <DIR> d-------- C:\WINDOWS\system32\es-es
2008-03-13 20:16 . 2008-03-13 20:17 <DIR> d-------- C:\Archivos de programa\Google
2008-03-13 20:14 . 2008-03-13 20:14 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Apple Computer
2008-03-13 20:14 . 2008-03-13 20:14 <DIR> d-------- C:\Archivos de programa\Yahoo!
2008-03-13 20:14 . 2008-03-13 20:14 <DIR> d-------- C:\Archivos de programa\Real Alternative
2008-03-13 20:14 . 2008-03-13 20:14 <DIR> d-------- C:\Archivos de programa\QuickTime Alternative
2008-03-13 20:14 . 2008-03-13 20:14 <DIR> d-------- C:\Archivos de programa\Nero
2008-03-13 20:14 . 2008-03-13 20:14 <DIR> d-------- C:\Archivos de programa\Media Player Classic
2008-03-13 20:14 . 2008-03-13 20:14 <DIR> d-------- C:\Archivos de programa\DVD Decrypter
2008-03-13 20:14 . 2008-03-13 20:14 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Ahead
2008-03-13 20:13 . 2008-03-13 20:13 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\BSplayer Pro
2008-03-13 20:13 . 2008-03-13 20:13 <DIR> d-------- C:\Archivos de programa\Webteh
2008-03-13 20:13 . 2008-03-13 20:13 <DIR> d-------- C:\Archivos de programa\K-Lite Codec Pack
2008-03-13 20:13 . 2008-03-13 20:13 <DIR> d--h----- C:\Archivos de programa\InstallShield Installation Information
2008-03-13 20:13 . 2008-03-13 20:13 <DIR> d-------- C:\Archivos de programa\CyberLink
2008-03-13 20:13 . 2008-03-13 20:13 <DIR> d-------- C:\Archivos de programa\Combined Community Codec Pack
2008-03-13 20:13 . 2008-03-13 20:13 <DIR> d-------- C:\Archivos de programa\Archivos comunes\InstallShield
2008-03-13 20:13 . 2001-03-08 18:30 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2008-03-13 20:13 . 2007-01-09 18:46 10,752 --a------ C:\WINDOWS\system32\ff_vfw.dll
2008-03-13 20:13 . 2005-02-24 18:56 547 --a------ C:\WINDOWS\system32\ff_vfw.dll.manifest
2008-03-13 20:13 . 2008-03-13 20:13 379 --a------ C:\WINDOWS\ODBC.INI
2008-03-13 20:13 . 2008-03-13 20:14 242 --a------ C:\WINDOWS\setup.iss
2008-03-13 20:12 . 2008-03-13 20:12 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-03-13 20:12 . 2008-03-13 20:12 <DIR> d-------- C:\Archivos de programa\Microsoft.NET
2008-03-13 20:12 . 2008-03-13 20:12 <DIR> d-------- C:\Archivos de programa\Microsoft Works
2008-03-13 20:10 . 2008-03-13 20:10 <DIR> d-------- C:\Archivos de programa\XnView
2008-03-13 20:10 . 2008-03-13 20:10 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2008-03-13 20:10 . 2008-03-13 20:10 <DIR> d-------- C:\Archivos de programa\Image Grabber II
2008-03-13 20:10 . 2008-03-13 20:11 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Adobe
2008-03-13 20:10 . 2005-08-25 15:18 118,784 --a------ C:\WINDOWS\system32\MSSTDFMT.DLL
2008-03-13 20:10 . 2005-08-25 15:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-03-13 20:09 . 2008-03-13 20:09 <DIR> d-------- C:\Archivos de programa\Java
2008-03-13 20:09 . 2008-03-13 20:09 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Java
2008-03-13 20:09 . 2006-11-09 15:07 49,265 --a------ C:\WINDOWS\system32\jpicpl32.cpl
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-16 05:24 90,112 ----a-w C:\WINDOWS\DUMP52e2.tmp
2008-03-16 04:17 90,112 ----a-w C:\WINDOWS\DUMPdf44.tmp
2008-03-13 22:54 --------- d-----w C:\Archivos de programa\Windows Media Connect 2
2008-03-13 22:50 --------- d-----w C:\Archivos de programa\Servicios en línea
.
------- Sigcheck -------
2007-01-24 22:24 360576 c7be59b07c6eb74bea6fd67c1b164015 C:\WINDOWS\system32\drivers\tcpip.sys
2007-10-30 14:20 360064 90caff4b094573449a0872a0f919b178 C:\WINDOWS\SoftwareDistribution\Download\242c7c5d66f8a7ac55bf5b4627e5c54b\sp2gdr\tcpip.sys
2007-10-30 13:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\SoftwareDistribution\Download\242c7c5d66f8a7ac55bf5b4627e5c54b\sp2qfe\tcpip.sys
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2004-03-19 08:07 704512]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"Yodm3D"="C:\WINDOWS\Resources\Themes\VistaXP\y3d\Yodm3D.exe" [2007-06-26 19:26 2058752]
"TuneUp MemOptimizer"="C:\Archivos de programa\TuneUp Utilities 2008\MemOptimizer.exe" [2008-03-03 09:41 197888]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2007-10-11 11:04 1826816 C:\WINDOWS\SkyTel.exe]
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" [2006-09-18 11:08 29696]
"LanguageShortcut"="C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" [2006-09-29 21:58 49152]
"UnlockerAssistant"="C:\Archivos de programa\Unlocker\UnlockerAssistant.exe" [2006-09-07 14:19 15872]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-04-16 12:51 135168]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-04-16 12:51 155648]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-04-16 12:51 131072]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-16 18:30 16855552 C:\WINDOWS\RTHDCPL.exe]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-16 13:27 79224]
"OSD"="C:\WINDOWS\osd.exe" [2007-01-21 20:50 86016]
"VisualTooltip"="C:\WINDOWS\Resources\Themes\VistaXP\vt\VisualToolTip.exe" [2007-04-25 09:45 956928]
"Glass2k"="C:\WINDOWS\Resources\Themes\VistaXP\glass\Glass2k.exe" [2007-07-14 05:31 56325]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:42 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2006-11-07 03:26 123904 C:\WINDOWS\system32\advpack.dll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\MsnMsgr.Exe"=
R1 BIOS;BIOS;C:\WINDOWS\system32\drivers\BIOS.sys [2005-03-16 03:23]
R2 UxTuneUp;TuneUp Ampliación del thema;C:\WINDOWS\System32\svchost.exe [2004-08-19 15:43]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2007-07-03 18:33]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-15 17:24]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
*Newly Created Service* - SROSA
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}]
rundll32.exe advpack.dll,LaunchINFSectionEx C:\WINDOWS\INF\wmactedp.inf,PerUserStub,,4
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-16 13:27:36
Windows 5.1.2600 Service Pack 2 FAT NTAPI
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
**************************************************************************
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"="C:\\WINDOWS\\system32\\drivers\\hldrrr.exe"
"german.exe"="C:\\WINDOWS\\system32\\wintems.exe"
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]
"ImagePath"="\??\C:\WINDOWS\system32\drivers\srosa.sys"
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------
PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\Archivos de programa\Unlocker\UnlockerHook.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\igfxsrvc.exe
.
**************************************************************************
.
Tiempo completado: 2008-03-16 13:28:19 - machine was rebooted [Administrador]
ComboFix-quarantined-files.txt 2008-03-16 16:28:16
.
2008-03-15 20:34:12 --- E O F ---