Virus HLDRRR (Bagle ?)

Résolu
rslmanu Messages postés 32 Statut Membre -  
 Sergius -
Bonjour,

J'ai ouvert un fichier qui contenait un virus. J'ai analysé ce fichier après coup avec BitDefender, il m'indique :
"DeepScan:Generic.Malware.SPVPkWkg.92497710"

Ce virus bloque tous les antivirus. J'ai téléchargé et essayé d'installer un dizaine d'antivirus gratuits : aucun ne se lance : à chaque fois j'ai le message : "machin.exe n'est pas une application Win32 valide"

De plus, il empeche apparement le lancement de certains services comme le service de confiiguration automatique sans fil, ce qui m'empeche de me connecter à internet.

J'ai essayé plusieurs manip' trouvées sur d'autres topic de ce site :
- J'ai lancé ELIBAGLE, qui ne m'a apparement rien arrangé (dites moi si vous voulez le rapport)
- J'ai essayé de lancer ComboFix qui refuse : soit mon ordi plante, soit j'ai droit à "ComboFix.exe n'est pas une application Win32 valide"
- j'ai supprimé le dossier C:\muestras (il réapparaissait à chaque démarrage jusqu'à ce que je vois et que je décoche hldrrr.exe dans msconfig)
- j'ai supprimé le fichier C:\Windows\system32\drivers\hldrrr.exe
- j'ai analysé avec "F-Secure Blacklignt" , et il me détecte C:\Windows\system32\drivers\hldrrr.exe (bien que je ne voie rien avec l'explorateur). Je l'ai renommé. Mais ca n'a rien changé...

Voila, je ne sais plus quoi faire. J'espère que quelqu'un pourra m'aider.

Merci

35 réponses

  • 1
  • 2
  1. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    c'est bien bagle ! lié à un fichier craké ...

    oui poste le rapport d'elibagla

    ++
    0
  2. rslmanu Messages postés 32 Statut Membre
     
    Waou ! réponse ultra rapide merci !!
    Voila le rapport (je l'ai lancé plusieurs fois)

    Sun Mar 23 00:51:05 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
    Restaurada Clave: "SafeBoot\Minimal y Network"
    Reinicie para Completar la Limpieza.

    Sun Mar 23 10:18:02 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
    Reinicie para Completar la Limpieza.

    Sun Mar 23 12:00:33 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 23701
    Nº Total de Ficheros: 238738
    Nº de Ficheros Analizados: 16521
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Sun Mar 23 12:19:24 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 23701
    Nº Total de Ficheros: 238738
    Nº de Ficheros Analizados: 16521
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Sun Mar 23 13:51:06 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
    Reinicie para Completar la Limpieza.

    Sun Mar 23 13:52:58 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 23690
    Nº Total de Ficheros: 238696
    Nº de Ficheros Analizados: 16492
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Sun Mar 23 14:26:25 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
    Reinicie para Completar la Limpieza.

    Sun Mar 23 14:31:00 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
    Reinicie para Completar la Limpieza.

    Sun Mar 23 14:33:30 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
    Reinicie para Completar la Limpieza.

    Sun Mar 23 14:34:31 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 23688
    Nº Total de Ficheros: 238695
    Nº de Ficheros Analizados: 16491
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0
    0
  3. rslmanu Messages postés 32 Statut Membre
     
    Snif ! T'es plus là ? T'as pas une petite idée ?
    0
  4. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    très bien !

    redémarrer en mode sans échec puis repasse elibagla et poste le rapport stp

    ++
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. rslmanu Messages postés 32 Statut Membre
     
    Ca y est :

    Sun Mar 23 17:24:38 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

    Sun Mar 23 17:24:46 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 23718
    Nº Total de Ficheros: 238863
    Nº de Ficheros Analizados: 16539
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    ohO ! Serait-il supprimé ??!!
    Je redémarre mon ordi et je regarde ce qui a changé...
    0
  7. rslmanu Messages postés 32 Statut Membre
     
    Non :-(
    Rien n'a changé.
    J'ai toujours des "truc.exe n'est pas une application Win32 valide", et j'arrive toujours pas à démarrer certains services....

    damned !
    0
  8. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    on a pas encore fini ! ;-)

    télécharge combo-fix ici :

    http://download.bleepingcomputer.com/sUBs/Combo-Fix.exe

    et enregistre le sur le bureau (pas besoin de le renommer, c'est fait)

    déconnecte toi d'internet et ferme toutes tes applications.

    double-clique sur combo-fix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    ==> poste le stp

    ++

    ++
    0
  9. rslmanu Messages postés 32 Statut Membre
     
    Voili voilou :

    ComboFix 08-03-21.1 - Emmanuel 2008-03-23 18:10:04.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.838 [GMT 1:00]
    Endroit: C:\Documents and Settings\Emmanuel\Bureau\Combo-Fix.exe
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .
    TimedOut: progfile.dat

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\drivers\down
    C:\WINDOWS\system32\drivers\down\907343.exe
    C:\WINDOWS\system32\drivers\npf.sys
    C:\WINDOWS\system32\packet.dll
    C:\WINDOWS\system32\pthreadVC.dll
    C:\WINDOWS\system32\wpcap.dll

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_NWSAPAGENT
    -------\Legacy_SROSA
    -------\Service_NPF
    -------\Service_NwSapAgent

    ((((((((((((((((((((((((( Files Created from 2008-02-23 to 2008-03-23 )))))))))))))))))))))))))))))))
    .

    2008-03-23 17:28 . 2008-03-23 17:28 <REP> d-------- C:\Muestras
    2008-03-23 15:03 . 2008-03-23 15:03 <REP> d-------- C:\Program Files\Enigma Software Group
    2008-03-23 01:09 . 2008-03-23 01:09 <REP> d-------- C:\Program Files\ClamWin
    2008-03-23 01:09 . 2008-03-23 01:09 <REP> d-------- C:\Documents and Settings\All Users\.clamwin
    2008-03-22 23:10 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
    2008-03-22 23:09 . 2008-03-22 23:09 <REP> d-------- C:\Program Files\Alwil Software
    2008-03-22 21:10 . 2008-03-22 21:45 <REP> d-------- C:\Program Files\BitDefender
    2008-03-22 17:14 . 2008-03-22 17:14 <REP> d-------- C:\Program Files\MMRR Software
    2008-03-22 15:13 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
    2008-03-22 15:12 . 2008-03-22 15:13 <REP> d-------- C:\Program Files\Futuroscope Experience ADF
    2008-03-22 15:12 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
    2008-03-22 12:08 . 2008-03-22 12:08 <REP> d-------- C:\Program Files\LaBoiteACouleurs
    2008-03-22 10:26 . 2008-03-22 10:26 <REP> d-------- C:\WINDOWS\Robots
    2008-03-22 10:17 . 2008-03-22 10:17 <REP> d-------- C:\WINDOWS\Setup Factory 7.0 Trial
    2008-03-22 10:17 . 2008-03-22 10:17 <REP> d-------- C:\Program Files\Setup Factory 7.0 Trial
    2008-03-21 15:29 . 2008-03-21 15:29 <REP> d-------- C:\Westwood
    2008-03-21 10:33 . 2008-03-21 10:33 70 --a------ C:\WINDOWS\FinalAlert2.ini
    2008-03-21 10:32 . 2008-03-21 10:33 <REP> d-------- C:\Program Files\FinalAlert 2
    2008-03-21 10:32 . 2008-03-21 10:32 286,720 --a------ C:\WINDOWS\iun503.exe
    2008-03-19 14:40 . 2008-03-22 14:51 <REP> d-------- C:\Program Files\FreeTrack
    2008-03-16 23:13 . 2008-03-16 23:13 <REP> d-------- C:\Documents and Settings\Emmanuel\Application Data\Desktopicon
    2008-03-16 09:50 . 2008-03-16 10:03 <REP> d-------- C:\Program Files\DOGACGA
    2008-03-16 09:49 . 2008-03-16 09:50 230 --a------ C:\WINDOWS\_uninst_.bat
    2008-03-16 09:46 . 2008-03-16 09:46 <REP> d-------- C:\Documents and Settings\Emmanuel\Application Data\DoGA
    2008-03-15 21:35 . 2008-03-15 21:35 <REP> d-------- C:\Downloads
    2008-03-15 21:35 . 2008-03-15 23:24 <REP> d-------- C:\Documents and Settings\Emmanuel\Application Data\GetRightToGo
    2008-03-15 21:26 . 2008-03-16 19:38 <REP> d-------- C:\Program Files\Singular Inversions
    2008-03-15 20:55 . 2008-03-15 20:55 <REP> d-------- C:\Program Files\Braid Art Labs
    2008-03-15 19:00 . 2008-03-15 19:00 <REP> d-------- C:\Program Files\Pantomat
    2008-03-15 18:56 . 2008-03-15 21:27 <REP> d-------- C:\Program Files\Panorama Demo
    2008-03-13 20:45 . 2008-03-13 20:48 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-03-13 20:44 . 2008-03-13 21:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-03-11 21:35 . 2008-03-11 21:35 <REP> d-------- C:\Documents and Settings\Emmanuel\Application Data\Talkback
    2008-03-10 19:02 . 2008-03-11 18:28 <REP> d-------- C:\Program Files\MathType
    2008-03-10 19:02 . 2008-03-10 19:02 <REP> d-------- C:\Documents and Settings\Emmanuel\Application Data\Design Science
    2008-03-09 14:10 . 2008-03-22 10:18 <REP> d-------- C:\Documents and Settings\Emmanuel\Application Data\IndigoRose
    2008-03-08 17:44 . 2008-03-08 17:44 0 --a------ C:\WINDOWS\system32\atiicdxx.dat
    2008-03-08 17:42 . 2008-03-08 17:42 10 --a------ C:\WINDOWS\WININIT.INI
    2008-03-08 14:16 . 2008-03-08 14:16 <REP> d-------- C:\Program Files\WinPcap
    2008-03-08 14:15 . 2008-03-08 14:47 <REP> d-------- C:\Program Files\Net Tools
    2008-03-08 14:15 . 2001-04-05 16:43 1,009,336 --a------ C:\WINDOWS\system32\mschrt20.ocx
    2008-03-08 09:18 . 2008-03-08 09:18 <REP> d-------- C:\Program Files\Fichiers communs\Labcenter Electronics
    2008-03-06 16:41 . 2005-07-25 10:04 48,640 --------- C:\WINDOWS\system32\drivers\ser2pl.sys
    2008-03-05 23:00 . 2008-03-05 23:00 <REP> d-------- C:\Program Files\PowerMenu
    2008-03-03 21:06 . 2008-03-03 21:06 <REP> d-------- C:\Documents and Settings\Emmanuel\Application Data\Apple Computer
    2008-03-03 20:39 . 2008-03-03 20:39 21,361 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
    2008-03-03 20:39 . 2008-03-03 20:39 21,361 --a------ C:\WINDOWS\AegisP.sys
    2008-03-03 20:39 . 2008-03-03 20:39 13,984 --a------ C:\WINDOWS\AegisP.inf
    2008-03-03 20:39 . 2008-03-03 20:39 10,640 --a------ C:\WINDOWS\AegisP.cat
    2008-03-03 20:38 . 2007-02-12 12:41 2,732,032 --a------ C:\WINDOWS\system32\Netw2r32.dll
    2008-03-03 20:38 . 2007-07-25 17:44 2,210,048 --a------ C:\WINDOWS\system32\drivers\w29n51.sys
    2008-03-03 20:38 . 2007-02-12 12:40 557,056 --a------ C:\WINDOWS\system32\Netw2c32.dll
    2008-03-03 19:58 . 2008-03-03 20:32 2,323,968 --a------ C:\WINDOWS\system32\TUKernel.exe
    2008-03-03 19:11 . 2008-03-03 19:11 <REP> d-------- C:\Documents and Settings\Emmanuel\Application Data\TuneUp Software
    2008-03-03 19:11 . 2008-03-03 19:11 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
    2008-03-03 19:11 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
    2008-03-03 19:10 . 2008-03-03 19:15 <REP> d-------- C:\Program Files\TuneUp Utilities 2008
    2008-03-03 19:10 . 2008-03-03 19:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TuneUp Software
    2008-03-03 01:02 . 2008-03-18 18:55 54,156 --ah----- C:\WINDOWS\QTFont.qfn
    2008-03-03 01:02 . 2008-03-03 01:02 1,409 --a------ C:\WINDOWS\QTFont.for
    2008-02-26 23:14 . 2008-02-26 23:42 <REP> d-------- C:\Program Files\ScreenshotCaptor
    2008-02-26 23:14 . 2008-02-26 23:14 58 --a------ C:\WINDOWS\system32\DonationCoder_ScreenshotCaptor_InstallInfo.dat
    2008-02-26 12:30 . 2008-02-26 12:30 <REP> d-------- C:\Documents and Settings\Emmanuel\Application Data\M05

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-03-23 14:07 --------- d-----w C:\Documents and Settings\Emmanuel\Application Data\BitTorrent
    2008-03-23 14:04 --------- d-----w C:\Documents and Settings\Emmanuel\Application Data\vmntoolbar
    2008-03-22 16:29 --------- d-----w C:\Program Files\eMule
    2008-03-19 12:44 --------- d-----w C:\Documents and Settings\Emmanuel\Application Data\U3
    2008-03-16 22:15 --------- d-----w C:\Program Files\Unlocker
    2008-03-16 20:27 357 ----a-w C:\Documents and Settings\Emmanuel\.cb_layout.bin
    2008-03-16 18:38 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-03-13 20:56 --------- d-----w C:\Program Files\Windows Live
    2008-03-12 23:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2008-03-08 16:43 --------- d-----w C:\Program Files\ATI Technologies
    2008-03-08 13:38 --------- d-----w C:\Program Files\KeyLogger
    2008-03-08 13:36 --------- d-----w C:\Program Files\Fichiers communs\Merge Modules
    2008-03-08 13:04 --------- d-----w C:\Program Files\Teleport Pro
    2008-03-08 13:03 --------- d-----w C:\Program Files\Sprint-Layout50
    2008-03-03 19:38 --------- d-----w C:\Program Files\Intel
    2008-03-03 18:39 --------- d-----w C:\Program Files\MSN Messenger
    2008-03-03 13:19 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-02-24 22:03 --------- d-----w C:\Program Files\JAP
    2008-02-22 14:27 --------- d-----w C:\Program Files\Phun
    2008-02-20 18:06 --------- d-----w C:\Program Files\regtkt
    2008-02-20 09:46 --------- d-----w C:\Program Files\Fichiers communs\Autodesk Shared
    2008-02-20 09:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Autodesk
    2008-02-19 21:26 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2008-02-19 20:57 --------- d-----w C:\Program Files\Vilma
    2008-02-18 09:37 --------- d-----w C:\Program Files\CDCheck
    2008-02-16 21:13 --------- d-----w C:\Program Files\ElcomSoft
    2008-02-15 11:36 --------- d-----w C:\Program Files\GL Excess
    2008-02-15 08:03 --------- d-----w C:\Program Files\ZC2.10
    2008-02-15 07:58 --------- d-----w C:\Program Files\Micro Application
    2008-02-15 07:57 --------- d-----w C:\Program Files\InterActual
    2008-02-15 07:57 --------- d-----w C:\Program Files\Hanmen
    2008-02-14 16:22 --------- d--h--r C:\Documents and Settings\Emmanuel\Application Data\Microchip
    2008-02-14 16:13 --------- d-----w C:\Program Files\HI-TECH Software
    2008-02-14 16:07 --------- d-----w C:\Program Files\Microchip
    2008-02-14 12:29 --------- d-----w C:\Program Files\Labcenter Electronics
    2008-02-14 00:12 --------- d-----w C:\Program Files\Patch Maker
    2008-02-13 13:08 --------- d-----w C:\Program Files\UZC Trial
    2008-02-11 12:40 --------- d-----w C:\Documents and Settings\Emmanuel\Application Data\FileZilla
    2008-02-11 12:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\FLEXnet
    2008-02-11 12:01 --------- d-----w C:\Program Files\Fichiers communs\Control Panels
    2008-02-11 11:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\ALM
    2008-02-11 11:19 --------- d-----w C:\Program Files\Bonjour
    2008-02-11 11:12 --------- d-----w C:\Program Files\Fichiers communs\Macrovision Shared
    2008-02-11 10:48 --------- d-----w C:\Program Files\Pivot Stickfigure Animator
    2008-02-10 20:55 --------- d-----w C:\Program Files\AxBx
    2008-02-10 20:33 --------- d-----w C:\Program Files\CCleaner
    2008-02-10 11:12 --------- d-----w C:\Program Files\Hasbro Interactive
    2008-02-09 15:23 --------- d-----w C:\Program Files\Ghost Navigator2_8_2
    2008-02-09 12:56 --------- d-----w C:\Documents and Settings\Emmanuel\Application Data\Classes de site
    2008-02-09 12:01 --------- d-----w C:\Program Files\BitTorrent
    2008-02-09 09:01 --------- d-----w C:\Program Files\BlueVoda Website Builder
    2008-02-09 08:38 --------- d-----w C:\Program Files\Intuisphere
    2008-02-08 13:39 737,280 ----a-w C:\WINDOWS\iun6002.exe
    2008-02-02 16:34 --------- d-----w C:\Program Files\Futuremark
    2008-02-02 15:11 --------- d-----w C:\Program Files\SiSoftware
    2008-02-02 14:56 --------- d-----w C:\Program Files\CR-TEKnologies
    2008-01-30 09:37 --------- d-----w C:\Program Files\D'Accord Music Software
    2008-01-30 09:34 --------- d-----w C:\Program Files\Guitar Pro 5
    2008-01-29 22:00 22,528 ----a-w C:\WINDOWS\system32\drivers\nhcDriver.sys
    2008-01-28 20:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink
    2008-01-28 08:42 --------- d-----w C:\Program Files\exe4j
    2008-01-27 19:40 --------- d-----w C:\Program Files\DVD Shrink
    2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
    2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 17:45 1052672]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360]
    "TuneUp MemOptimizer"="C:\Program Files\TuneUp Utilities 2008\MemOptimizer.exe" [2008-02-27 18:00 197888]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Apoint"="C:\Program Files\Apoint\Apoint.exe" [2005-10-07 13:13 176128]
    "C:\Program Files\KeyLogger\nvelle version\Manihil.exe"="" []
    "SpyHunter Security Suite"="C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-01-23 14:47 847872]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "AllowLegacyWebView"= 1 (0x1)
    "AllowUnhashedWebView"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=sockspy.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    --a------ 2008-01-11 22:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClamWin]
    --a------ 2008-03-23 15:47 73728 C:\Program Files\ClamWin\bin\ClamTray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\drvsyskit]
    C:\WINDOWS\system32\drivers\hldrrr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelZeroConfig]
    --a------ 2007-10-08 14:18 995328 C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ModemOnHold]
    --------- 2003-09-10 01:24 20480 C:\Program Files\NetWaiting\netWaiting.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    --a------ 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2001-07-09 09:50 155648 C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OSCD_Creator]
    c:\Dell\MediaExe\PreODM.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
    -ra------ 2005-10-26 16:17 159744 C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
    "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "C:\\Program Files\\BitTorrent\\bittorrent.exe"=
    "C:\\Program Files\\BitTorrent_DNA\\dna.exe"=
    "C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"=
    "C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"=
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "C:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
    "3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
    "50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
    "50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
    "AllowInboundEchoRequest"= 1 (0x1)

    R0 RVSDISK;RVSDISK;C:\WINDOWS\system32\Drivers\RVSDISK.sys [2007-12-03 19:26]
    R0 RVSYSTEM;RVSYSTEM;C:\WINDOWS\system32\Drivers\RVSYSTEM.sys [2007-12-03 19:26]
    R2 SQLWriter;SQL Server VSS Writer;"C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2007-02-10 04:29]
    R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-19 15:10]
    R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 13:22]
    R2 WeOnlyDo wodAppUpdate Service;WeOnlyDo wodAppUpdate Service;C:\WINDOWS\system32\wodUpdSv.exe [2007-07-04 01:04]
    R3 NWADI;NWADI Bus Enumerator;C:\WINDOWS\system32\DRIVERS\NWADIenum.sys [2006-08-09 10:11]
    R3 SbieDrv;SbieDrv;C:\Program Files\Sandboxie\SbieDrv.sys [2007-08-25 13:51]
    R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
    S2 Windows service sysklog;Windows service sysklog;C:\WINDOWS\System32\winss.exe [2008-03-23 16:45]
    S3 ATIXPGAA;ATIXPGAA;C:\Dell\Drivers\R101351\ATIXPGAA.SYS [2004-02-20 11:31]
    S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2006-08-16 11:57]
    S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys [2006-05-01 12:16]
    S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-03 19:11]
    S3 wampapache;wampapache;"c:\wamp\apache2\bin\httpd.exe" -k runservice []
    S3 wampmysqld;wampmysqld;c:\wamp\mysql\bin\mysqld-nt.exe [2007-07-06 12:14]
    S4 msvsmon80;Visual Studio 2005 Remote Debugger;"C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 []

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4249f4cc-eb9a-11dc-8565-0013ce5f7a67}]
    \Shell\AutoRun\command - F:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90453291-65f1-11dc-b186-0013ce5f7a67}]
    \Shell\AutoRun\command - G:\LaunchU3.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a7cbbf43-e959-11dc-8563-0013ce5f7a67}]
    \Shell\AutoRun\command - ie.exe
    \Shell\explore\Command - ie.exe
    \Shell\open\Command - ie.exe

    .
    Contents of the 'Scheduled Tasks' folder
    "2008-03-04 22:43:22 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    "2008-03-23 17:19:39 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
    - C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-03-23 18:20:21
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    " "="C:\\Program Files\\KeyLogger\\nvelle version\\Manihil.exe"
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\WINDOWS\System32\WLTRYSVC.EXE
    C:\WINDOWS\System32\bcmwltry.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\Program Files\Sandboxie\SbieSvc.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    C:\WINDOWS\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Completion time: 2008-03-23 18:26:59 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-03-23 17:26:56
    .
    2008-03-23 12:58:49 --- E O F ---
    0
  10. rslmanu Messages postés 32 Statut Membre
     
    Alors ? Que faut-il faire docteur ?
    0
  11. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    poste un nouveau rapport elibagla stp

    ++
    0
  12. rslmanu Messages postés 32 Statut Membre
     
    Ca y est !

    Sun Mar 23 20:03:13 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Sun Mar 23 20:03:42 2008
    EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 23744
    Nº Total de Ficheros: 237489
    Nº de Ficheros Analizados: 16571
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0
    0
  13. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    très bien, peux tu accéder à ton antivirus a présent ??

    ++
    0
  14. rslmanu Messages postés 32 Statut Membre
     
    Non ! Toujours l'erreur "pas une application Win32 valide" !
    0
  15. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    ah !

    on continue !

    va dans démarrer < exécuter et tape la commande suivante :

    findstr /S /I /M /L "Themida" C:\*.exe>>"%userprofile%\bureau\Startvir.txt"


    Le fichier Startvir.txt sur le bureau listera les fichiers suspects trouvés ==> poste le stp

    ++
    0
  16. rslmanu Messages postés 32 Statut Membre
     
    ben quand je le tape dans executer, ca fait rien du tout.
    Je l'ai tapé dans la console, et ca a créé le fichier startvir.txt sur le bureau, mais ya rien dedans...
    0
  17. rslmanu Messages postés 32 Statut Membre
     
    Aha ! je viens de réussir à installer Avast! !! Je vais faire un scan !
    0
  18. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    ok,

    télécharge ceci :

    * https://www.commentcamarche.net/telecharger/ 34055379 malwarebyte s anti malware
    * Installez le programme sur le bureau :
    o S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
    * Faites les mises à jour (clic sur Mises à jour puis Recherche de mises à jour)
    * Démarrez en mode sans échec
    * Lancez le MalwareByte's Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous tes disques durs
    * Une fois le scan terminé, cliquez sur supprimer (si un message demande à redémarrer le PC, acceptez !)
    * Un rapport sera généré, enregistrez le de manière à le retrouver

    ==> poste le stp

    ++
    0
  19. rslmanu Messages postés 32 Statut Membre
     
    Ca y est !!

    Malwarebytes' Anti-Malware 1.09
    Version de la base de données: 507

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 284019
    Temps écoulé: 3 hour(s), 0 minute(s), 45 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\QooBox\Quarantine\C\WINDOWS\system32\packet.dll.vir (Spyware.Agent) -> No action taken.
    C:\QooBox\Quarantine\C\WINDOWS\system32\wpcap.dll.vir (Spyware.Agent) -> No action taken.
    C:\WINDOWS\AutoUpdateWin31.dll (Adware.Agent) -> No action taken.
    C:\WINDOWS\AutoUpdateWin33.exe (Adware.Agent) -> No action taken.
    C:\WINDOWS\WindowsUpdates.exe (Adware.Agent) -> No action taken.

    Je les ai supprimé tous les 5...
    0
  20. rslmanu Messages postés 32 Statut Membre
     
    Mon service "configuration automatique sans fil" refusait encore de démarrer, je ne pouvais pas me connecter....

    Mais j'ai trouvé l'astuce suivante sur un autre topic :
    Aller dans regedit (executer > regedit)
    Mettre la valeur 2 à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Start (qui était à 4)
    Redémarrer l'ordi
    Ca marche youpi !

    J'ai téléchargé Malwarebytes Anti-Malware ici :
    https://www.generation-nt.com/malwarebytes-anti-malware-protection-agents-malveillants-securite-anti-malwares-telecharger-telechargement-47800.html
    0
  21. rslmanu Messages postés 32 Statut Membre
     
    Bon je crois que tout remarche normalement !
    Un très grand MERCI Green Day !!!!!
    C'est quand meme formidable d'aider les malheureux petits newbies infectés comme ca !

    Et puis bonne fète de Paques !
    0
  • 1
  • 2