AVG, node32, windows defender = down. Bagle?

Question

Bonjour,

Je crois que j'ai le même problème de bon nombre d'utilisateurs malheureux. J'ai voulu tester un programme en téléchargeant un crack et celui-ci a bien trainé pour se lancer... 1ère alerte... Ensuite, avg a disparu, j'ai rebooté mon ordi et là windows defender et le réseau sans fil ne fonctionnaient plus non plus.
J'ai essayé de réinstaller avg, mais dès que je l'ai lancé, j'ai reçu le fameux message m'annonçant que "avg n'est pas une application win 32"... Depuis j'ai essayé avec node32, idem... et j'ai découvert les posts qui semblent correspondre à mon problème.

Je suis sur windows vista premium sur un un ordinateur portable acer 5920 (je ne sais pas si ca aide).

Bref, j'ai décidé de suivre les conseils d'un de ces posts et à un moment, le type dit qu'il faut poster sur son forum préféré. Bon... ca ne m'aide pas beaucoup. J'aimerais savoir ce que je dois faire pcq je ne pourrai pas transférer d'un ordi à l'autre à cause des risques de contamination (pcq là je suis retourné sur ma bonne vieille tour).

Dois en dire plus? 

J'ai téléchargé comboFix.
J'ai entendu parler de elibagla, de KillBox... je ne sais trop vers quoi me tourner.

Je compte faire le transfert entre ordi par cd pour minimiser les risques.

D'avance merci pour toute réponse.

dou-l · Answer

salut,

D'abord supprime ton crack c'est important !!

ensuite: 



Désactive le contrôle des comptes utilisateurs :


- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


apres:


Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.


* Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.
* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
* Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse

Si, dans le rapport,elibaga tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).


et ils mettront a jour elibaga dans les 48 heures ce qui permettra de virer le virus que tu as.

a+ et bonne chance !

dou-l · Answer

Il faut que tu ailles sur le pc infécter pour faire les manip

et j'avais oublié de préciser Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

Cédric · Answer

Hello dou-l, Désolé de n'avoir plus donné signe de vie hier, mais vie familiale oblige. Evidemment, je me doutais que je devais le faire tourner sur l'autre ordinateur... Je ne suis pas complètement crétin. Et j'aurais aimé savoir comment interpréter les logs de combofix pour ne pas avoir à faire de multiples changements d'ordinateur. Mais bon, j'ai lu qu'il fallait avoir suivit une formation pour ne pas faire de bêtises avec combofix donc je m'en remets à toi. Et voici le log en question: --------------------------------------------------- DEBUT LOG DE COMBOFIX ----------------------------------------------------------------------- ComboFix 08-04-10.9 - cédric 2008-04-12 13:45:49.1 - NTFSx86 Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1216 [GMT 2:00] Endroit: F:\bagle\Combo-Fix.exe * Création d'un nouveau point de restauration * Resident AV is active . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Windows\system32\drivers\hldrrr.exe C:\Windows\system32\drivers\srosa.sys . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SROSA ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-12 to 2008-04-12 )))))))))))))))))))))))))))))))))))) . 2008-04-11 17:18 . 2008-04-11 17:16 512,096 --a------ C:\Windows\System32\drivers\amon.sys 2008-04-11 17:18 . 2008-04-11 17:16 298,104 --a------ C:\Windows\System32\imon.dll 2008-04-11 17:18 . 2008-04-11 17:16 15,424 --a------ C:\Windows\System32\drivers od32drv.sys 2008-04-11 17:16 . 2008-04-11 17:18 d-------- C:\Program Files\ESET 2008-04-11 14:32 . 2004-08-19 05:05 688,128 --a------ C:\Windows\System32\drivers\mdelk.exe 2008-04-11 14:31 . 2008-04-11 14:33 d-------- C:\Windows\System32\drivers\downld 2008-04-11 14:00 . 2008-04-11 14:00 d-------- C: emp\swf 2008-04-11 01:32 . 2008-04-11 01:32 270 --a------ C:\Windows hug2.ini 2008-04-11 01:17 . 2008-04-11 01:42 d-------- C:\Program Files\THUG2 2008-04-04 20:54 . 2008-04-04 20:58 d-------- C: emp\Walk the Line 2008-04-04 20:52 . 2008-04-04 20:54 d-------- C: emp\Toto le heros 2008-04-04 20:49 . 2008-04-04 20:52 d-------- C: emp\Marie Antoinette 2008-04-03 22:34 . 2008-04-03 22:37 d-------- C: emp\Being John Malkovitch 2008-04-03 22:25 . 2008-04-03 22:25 803,328 --a------ C:\Windows\System32\drivers cpip.sys 2008-04-03 22:25 . 2008-04-03 22:25 216,632 --a------ C:\Windows\System32\drivers etio.sys 2008-04-03 22:25 . 2008-04-03 22:25 194,560 --a------ C:\Windows\System32\WebClnt.dll 2008-04-03 22:25 . 2008-04-03 22:25 167,424 --a------ C:\Windows\System32 cpipcfg.dll 2008-04-03 22:25 . 2008-04-03 22:25 110,080 --a------ C:\Windows\System32\drivers\mrxdav.sys 2008-04-03 22:25 . 2008-04-03 22:25 24,064 --a------ C:\Windows\System32 etcfg.exe 2008-04-03 22:25 . 2008-04-03 22:25 22,016 --a------ C:\Windows\System32 etiougc.exe 2008-04-03 21:55 . 2008-04-03 21:55 3,504,696 --a------ C:\Windows\System32 tkrnlpa.exe 2008-04-03 21:55 . 2008-04-03 21:55 3,470,392 --a------ C:\Windows\System32 toskrnl.exe 2008-04-03 21:55 . 2008-04-03 21:55 1,060,920 --a------ C:\Windows\System32\drivers tfs.sys 2008-04-03 21:55 . 2008-04-03 21:55 154,624 --a------ C:\Windows\System32\drivers wifi.sys 2008-04-03 21:55 . 2008-04-03 21:55 109,624 --a------ C:\Windows\System32\drivers\ataport.sys 2008-04-03 21:55 . 2008-04-03 21:55 45,112 --a------ C:\Windows\System32\drivers\pciidex.sys 2008-04-03 21:55 . 2008-04-03 21:55 41,984 --a------ C:\Windows\System32\drivers\monitor.sys 2008-04-03 21:55 . 2008-04-03 21:55 21,560 --a------ C:\Windows\System32\drivers\atapi.sys 2008-04-03 21:55 . 2008-04-03 21:55 17,464 --a------ C:\Windows\System32\drivers\intelide.sys 2008-04-03 21:54 . 2008-04-03 21:54 4,247,552 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll 2008-04-03 21:54 . 2008-04-03 21:54 1,686,528 --a------ C:\Windows\System32\gameux.dll 2008-04-03 11:01 . 2008-04-03 11:01 d-------- C:\Program Files\Alcohol120 2008-04-03 10:51 . 2008-04-03 10:51 716,272 --a------ C:\Windows\System32\drivers\sptd.sys 2008-04-02 20:40 . 2008-04-02 20:46 d-------- C:\Program Files\Project64v16115 2008-03-31 23:51 . 2008-04-11 14:49 349,711,528 --a------ C:\Windows\MEMORY.DMP . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-11 14:37 --------- d-----w C:\ProgramData\avg7 2008-04-11 12:30 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-04-11 11:59 --------- d-----w C:\Program Files\PowerArchiver 2008-04-05 21:20 --------- d-----w C:\Program Files\Microsoft Silverlight 2008-04-05 21:18 --------- d-----w C:\Program Files\Common Files\Adobe 2008-04-04 11:25 --------- d-----w C:\Program Files\Launch Manager 2008-04-03 19:54 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll 2008-04-03 19:54 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll 2008-04-03 19:54 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll 2008-04-03 19:54 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll 2008-03-28 13:06 --------- d-----w C:\Program Files\Soulseek 2008-03-14 09:02 53,768 ----a-w C:\Windows\system32\drivers\avgwfp.sys 2008-03-08 08:38 --------- d-----w C:\ProgramData\WEBREG 2008-03-08 08:34 --------- d-----w C:\Program Files\HP 2008-03-08 08:34 --------- d-----w C:\Program Files\Common Files\HP 2008-03-08 08:33 --------- d-----w C:\ProgramData\HP 2008-03-08 08:33 --------- d-----w C:\Program Files\Hewlett-Packard 2008-03-08 08:33 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard 2008-02-29 17:51 --------- d-----w C:\Program Files\Mozilla Thunderbird 2008-02-22 21:34 --------- d-----w C:\ProgramData\NtiDvdCopy 2008-02-22 01:45 --------- d-----w C:\ProgramData\Minnetonka Audio Software 2008-02-20 09:04 --------- d-----w C:\Program Files\Audacity 2008-02-16 10:51 --------- d-----w C:\Program Files\GPLMPEGDecoder 2008-02-16 10:47 --------- d-----w C:\Program Files\AC3Filter 2008-02-16 10:40 --------- d-----w C:\Program Files\Converio2_0 2008-02-16 10:39 --------- d-----w C:\Program Files\AviSynth 2.5 2008-02-16 08:25 --------- d-----w C:\Program Files\KC Softwares 2008-02-06 08:55 704,000 ----a-w C:\Windows\System32\PhotoScreensaver.scr 2008-02-06 08:55 24,064 ----a-w C:\Windows\System32\wtsapi32.dll 2008-02-06 08:55 2,923,520 ----a-w C:\Windows\explorer.exe 2008-02-06 08:55 2,027,008 ----a-w C:\Windows\System32\win32k.sys 2008-02-06 08:54 67,584 ----a-w C:\Windows\System32\wlanhlp.dll 2008-02-06 08:54 542,720 ----a-w C:\Windows\System32\sysmain.dll 2008-02-06 08:54 502,784 ----a-w C:\Windows\System32\wlansvc.dll 2008-02-06 08:54 47,104 ----a-w C:\Windows\System32\wlanapi.dll 2008-02-06 08:54 297,984 ----a-w C:\Windows\System32\wlansec.dll 2008-02-06 08:54 290,816 ----a-w C:\Windows\System32\wlanmsm.dll 2008-02-06 08:52 9,728 ----a-w C:\Windows\System32\LAPRXY.DLL 2008-02-06 08:52 223,232 ----a-w C:\Windows\System32\WMASF.DLL 2008-02-06 08:52 1,327,104 ----a-w C:\Windows\System32\quartz.dll 2008-02-06 08:51 11,776 ----a-w C:\Windows\System32\sbunattend.exe 2008-02-06 08:51 1,244,672 ----a-w C:\Windows\System32\mcmde.dll 2008-02-06 08:50 824,832 ----a-w C:\Windows\System32\wininet.dll 2008-02-06 08:50 56,320 ----a-w C:\Windows\System32\iesetup.dll 2008-02-06 08:50 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll 2008-02-06 08:50 26,624 ----a-w C:\Windows\System32\ieUnatt.exe 2008-01-26 14:29 413,048 ----a-w C:\Windows\System32\SpoonUninstall.exe 2007-10-14 09:25 174 --sha-w C:\Program Files\desktop.ini . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440] "AlcoholAutomount"="C:\Program Files\Alcohol120\axcmd.exe" [2008-03-20 18:46 217544] "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-08-14 10:16 1006264] "NvSvc"="C:\Windows\system32 vsvc.dll" [2007-06-26 09:33 86016] "NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-06-26 09:32 8433664] "NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-06-26 09:33 81920] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-08-19 05:05 688128] "eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 16:33 457216] "eAudio"="C:\Acer\Empowering Technology\eAudio\eAudio.exe" [2007-06-11 14:54 1286144] "Acer Tour"="" [] "RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 11:10 4468736 C:\Windows\RtHDVCpl.exe] "PLFSet"="C:\Windows\PLFSet.dll" [2007-04-25 13:47 45056] "IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 14:37 174872] "IaNvSrv"="C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe" [2007-03-13 17:49 33048] "SetPanel"="C:\Acer\APanel\APanel.cmd" [ ] "LManager"="C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE" [2007-07-31 03:36 707080] "PlayMovie"="C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe" [2007-05-24 13:38 206952] "WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 21:48 57344] "eRecoveryService"="" [] "Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [2007-05-22 15:49 151552] "EverioService"="C:\Program Files\CyberLink\PCM4Everio\EverioService.exe" [2006-11-22 21:10 151552] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496] "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [ ] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-10-19 21:16 286720] "TkBellExe"="C:\Program Files\Common Files\Real\Update_OB ealsched.exe" [2008-01-13 00:02 185896] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-17 00:11 49152] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "nod32kui"="C:\Program Files\Eset od32kui.exe" [2008-04-12 13:47 949376] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [2007-05-22 15:49 151552] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-303745231-2750280139-130918442-1000] "EnableNotificationsRef"=dword:00000006 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{CDC7112E-6A12-49E6-B564-839CC7CF348F}"= C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Acer Arcade Deluxe.exe:Acer Arcade Deluxe "{34EAE660-6D25-452C-AA00-B243496DCCCF}"= C:\Program Files\Acer Arcade Deluxe\VideoMagician\VideoMagician.exe:VideoMagician "{9EB7BD2B-824C-40D8-B735-BFFC3D6A1596}"= C:\Program Files\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe:HomeMedia "{8CB48207-3F7B-458F-A593-2640FB8D7108}"= C:\Program Files\Acer Arcade Deluxe\DV Wizard\DV Wizard.exe:DV Wizard "{FFD38EC3-A41A-447A-92FB-A8B7DB4E6598}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote "{71CCAB9F-8E52-44FE-99F3-DC984CA2B42C}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote "{4AB07471-99E9-4B33-8C37-84FD02107492}"= C:\Program Files\Acer Arcade Deluxe\DVDivine\DVDivine.exe:DVDivine "{97FB42AC-EABC-455C-9C15-24BA26A9F1DC}"= C:\Program Files\Acer Arcade Deluxe\Play Movie\PlayMovie.exe:Play Movie "{37E17471-3834-4822-BDE4-12EB36DA16E6}"= C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe:Play Movie Resident Program "{90943CD3-ABF4-4E4A-8DAD-022393FFF3BE}"= C:\Program Files\Acer\Acer VCM\VC.exe:Acer VCM "{ACBF054F-E4F4-4EB6-92E1-F742AB9FB197}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone) "TCP Query User{5E5A6970-A880-4ACB-9A57-A8E05D5B09E7}C:\program files\soulseek\slsk.exe"= UDP:C:\program files\soulseek\slsk.exe:SoulSeek "UDP Query User{A4679D21-9CE2-45A8-89BE-3B58658302DB}C:\program files\soulseek\slsk.exe"= TCP:C:\program files\soulseek\slsk.exe:SoulSeek "TCP Query User{0189686A-7C1B-4E9E-82F9-465D3A98D298}C:\program files\internet explorer\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer "UDP Query User{4B6C2320-3B4A-4E16-8F5C-9967CD6E14FA}C:\program files\internet explorer\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer "TCP Query User{6D734EAB-D5DE-4B38-8A46-A50C60A7D4A8}C:\program files\emule0.48a\emule.exe"= UDP:C:\program files\emule0.48a\emule.exe:eMule "UDP Query User{046C08C6-4D1A-4F8B-A04C-99EDF209F138}C:\program files\emule0.48a\emule.exe"= TCP:C:\program files\emule0.48a\emule.exe:eMule "TCP Query User{28A7BE0A-4256-4194-8883-D8E87EDEB2AD}C:\program files\the all-seeing eye\eye.exe"= UDP:C:\program files he all-seeing eye\eye.exe:Yahoo! All-Seeing Eye "UDP Query User{E2BF91F5-4741-44AF-964F-EC8DDB7FBF0D}C:\program files\the all-seeing eye\eye.exe"= TCP:C:\program files he all-seeing eye\eye.exe:Yahoo! All-Seeing Eye "TCP Query User{F17335F7-0843-45E5-A0DB-D944D0D17F67}C:\program files\wolfet\et.exe"= UDP:C:\program files\wolfet\et.exe:ET "UDP Query User{E58CC6B5-93DE-415D-A93F-90E6DD20CDFA}C:\program files\wolfet\et.exe"= TCP:C:\program files\wolfet\et.exe:ET "{721EDCEC-8A37-404D-9B30-F7199CEE8BE3}"= UDP:D:\games\Crysis SP Demo\Bin32\Crysis.exe:Crysis_32_sp_demo "{C4184FD3-17BB-479A-AEA6-8D6E4DF2DBBC}"= TCP:D:\games\Crysis SP Demo\Bin32\Crysis.exe:Crysis_32_sp_demo "TCP Query User{E97F1765-9413-4966-A0DE-ECC1B27B6E40}C:\program files\emule0.48a\emule.exe"= UDP:C:\program files\emule0.48a\emule.exe:eMule "UDP Query User{9B930B0D-9BA2-499F-A986-DB44E9B94EFF}C:\program files\emule0.48a\emule.exe"= TCP:C:\program files\emule0.48a\emule.exe:eMule "TCP Query User{3D27E491-A9E7-4CE8-8E82-1CD5CEC502FC}C:\program files\soulseek\slsk.exe"= UDP:C:\program files\soulseek\slsk.exe:SoulSeek "UDP Query User{04B2988D-663F-4BCA-83C2-B60C702B7906}C:\program files\soulseek\slsk.exe"= TCP:C:\program files\soulseek\slsk.exe:SoulSeek "{EDCE2470-AFCF-44F5-A1C6-668AA32E7F10}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype "{AA40A003-46B9-43C7-AF5C-F5C0142DE933}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype "TCP Query User{057587B5-4CD5-476A-874E-94786ACCCB06}C:\program files\filezillaclient\filezilla.exe"= UDP:C:\program files\filezillaclient\filezilla.exe:FileZilla FTP Client "UDP Query User{4D332CB4-66A7-4E88-84A4-63005E15E10F}C:\program files\filezillaclient\filezilla.exe"= TCP:C:\program files\filezillaclient\filezilla.exe:FileZilla FTP Client "TCP Query User{3DCEE110-F722-4CB4-B6CD-3B9A2ED8B511}C:\program files\mozilla firefox\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox "UDP Query User{BD99F6C0-D0D9-4F94-B954-786A2F89D70B}C:\program files\mozilla firefox\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox "TCP Query User{EF53AFE3-586E-4DAD-9B99-BFCD3DBECD7C}C:\program files\xi\netxfer\nettransport.exe"= UDP:C:\program files\xi etxfer ettransport.exe:NetXfer Download Manager "UDP Query User{D571DD61-943D-4C86-95B9-87F054E12033}C:\program files\xi\netxfer\nettransport.exe"= TCP:C:\program files\xi etxfer ettransport.exe:NetXfer Download Manager [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R0 iaNvStor;Intel(R) Turbo Memory Technology NAND Controller;C:\Windows\system32\DRIVERS\iaNvStor.sys [2007-03-11 01:11] R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-02-08 09:03] S3 btwaudio;Périphérique audio Bluetooth;C:\Windows\system32\drivers\btwaudio.sys [2007-03-29 21:46] S3 btwavdt;Bluetooth AVDT;C:\Windows\system32\drivers\btwavdt.sys [2007-02-27 08:20] S3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2007-02-27 08:20] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs REG_MULTI_SZ BthServ HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . ************************************************************************** catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-12 13:51:16 Windows 6.0.6000 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Windows\System32\audiodg.exe C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe C:\Acer\Empowering Technology\eNet\eNet Service.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Acer\Mobility Center\MobilityService.exe C:\Program Files\CDBurnerXP\NMSAccessU.exe C:\Windows\System32\PnkBstrA.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\Program Files\Alcohol120\StarWind\StarWindServiceAE.exe C:\Windows\System32\drivers\XAudio.exe C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe C:\Acer\Empowering Technology\ePower\ePowerSvc.exe C:\Windows\System32\wbem\unsecapp.exe C:\Windows\System32\conime.exe C:\Windows\System32 undll32.exe C:\Windows\System32 undll32.exe C:\Program Files\Launch Manager\QtZgAcer.EXE C:\Users\CDRIC~1\AppData\Local\Temp\RtkBtMnt.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Windows\ehome\ehmsas.exe . ************************************************************************** . Temps d'accomplissement: 2008-04-12 13:53:22 - machine was rebooted ComboFix-quarantined-files.txt 2008-04-12 11:53:13 Pre-Run: 8,978,677,760 octets libres Post-Run: 9,444,597,760 octets libres . 2008-04-03 20:25:34 --- E O F --- --------------------------------------------------- EOF(comme dit plus haut) LOG DE COMBOFIX --------------------------------------------- Que dois-je faire maintenant? Où puis-je apprendre à interpréter les logs? (pour une possible autre occasion) D'avance merci!

dou-l · Answer

Ok essaye d'installer un antivirus


On verra apres la désinféction si tu veux pour l'interpretation !!

Cédric · Answer

Dois en réinstaller un ou puis-je utiliser un qui est déjà installé? node32 par exemple

dou-l · Answer

Tu l'as payé nod ?

Cédric · Answer

C'est une version d'évaluation de trentre jours recommandée par un pote informaticien à qui j'ai demandé de l'aide avant de venir sur le forum. Il m'a dit que c'est ce qu'ils utilisaient au bureau.

dou-l · Answer

Ok réssaye : Tu comptes l'acheté ?

dou-l · Answer

Ok vire nod32 alors et Télécharge plutôt antivir en anglais mais très efficaces !

et dit tes soucis !

Cédric · Answer

J'avais déjà lancé le scan avec node32(que je venais de réinstaller) mais je n'ai pu le mettre à jour étant donné que je n'ai toujours pas accès au réseau local et donc à internet.
La carte reseau sans fil, ne détecte toujours pas de réseau alors qu'il y en a 3 visibles en permanence.
Je ne sais pas si c'est un problème qu'il faudra traiter indépendamment. Qu'en penses-tu?

Donc en ce moment, node32 scan mes disques. Mais ils étaient bien remplis...

Penses-tu que je dois scanner ma clé usb aussi? Ou la formater? Parce que je l'ai utilisée pour installer node avant de lancer combofix.

Utilisateur anonyme · Answer

Antivir est pas plus efficace que nod32...
https://www.generation-nt.com/eset-not32-antivirus-test-av-comparatives-actualite-66204.html

pendant le can de nod32 branche la clé.

dou-l · Answer

qu'est ce que tu fais dorgane j'y suis deja et j'ai deja conseillé!!

Pour la clé on verra après il existe des fix pour virer les infections des cles disque dur externer etc..

Pour ta connexion wifi regarde sur le lien si sa peux t'aider : http://www.canardwifi.com/2007/06/19/reparer-sa-connexion-wi-fi-en-toute-simplicite/

Cédric · Answer

Bon, le scan est terminé.
Je n'ai pas "menaces détectées". Mais beaucoup de fichiers qui sont verrouillés. Principalement des fichiers system de windows(dans /ProgramFiles, /windows, etc...) et ces quelques fichiers:
c:\hiberfil.sys - c:\pagefil.sys - c:\BOOT\BCD - c:\BOOT\BCD.LOG
rien sur le D:
Me conseilles-tu de relancer un scan mais avec antivir cette fois?

dou-l · Answer

oui stp

Cédric · Answer

Visiblement, le service sans fil de vista ne veut pas se lancer. Et vista n'arrive pas à trouver une solution au problème.

autre chose: j'ai un fichier catchme.zip qui est apparu sur mon bureau. d'après ce que j'ai pu voir ce n'est rien de grave, mais je me demande comment c'est arrivé là.

dou-l · Answer

C'est un des fix qui a mis ca Le probleme de ta conexion était anterieur au probleme de virus ??

Cédric · Answer

Non, c'est arrivé au même moment.
J'étais sur internet quand tout a commencé.

dou-l · Answer

ok

Cédric · Answer

Antivir tourne toujours, ca prend du temps... Mais tant mieux.

Par contre, pour la connection, il semblerait que le "service sans fil de windows" ne fonctionne pas. Et vista n'arrive pas à le relancer. J'ai été voir dans la liste des services et je ne l'y trouve pas... Est-ce possible qu'il ait été détruit par le virus?

dou-l · Answer

Non jvais faire des recherche je te previens si j'ai du nouveau !

Cédric · Answer

Bon, le scan est terminé:

1 suspicion de HEUR/malware dans un dll de Real\update_OB\ (realplayer). Mais j'imagine que c'est parce que c'est un dll qui sert à se connecter aux serveur REAL. Ce que je n'apprécie pas trop.
Sinon pas de virus détectés.
Mais certains fichiers n'ont pu être ouvert. A nouveau, ce sont ceux que j'avais cité précédemment:
c:\hiberfil.sys - c:\pagefil.sys et en plus: c:\windows\sytem32\drivers\sptd.sys

Et, plus embêtant, je n'arrive pas à scanner les boot sectors. 
Il me dit de relancer en mode administrateur: c'est ce que j'avais fais... 

Du coup je suis un peu perplexe étant donné qu'il reste pas mal de problèmes:
- windows defender ne démarre toujours pas
- le service sans fil de windows est introuvable ou a été modifié


Et surtout je ne sais comment y remédier.

dou-l · Answer

Redémarre ton ordinateur en mode sans échec et fait tourner elibagla 3 ou qutre fois faut pas hesitez !!! et poste les rapport

Cédric · Answer

Bon, j'ai pu scanner les Boot sector avec antivir cette fois et il n'y aurait rien dedans.

J'ai scanné plusieurs fois mes disques avec elibagla et il a viré deux fichiers.


Voici les rapports:


	  Sat Apr 12 18:36:04 2008
EliBagle v11.25  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Sat Apr 12 18:36:47 2008
EliBagle v11.25  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Synaptics\SynTP\SYNTPENH.EXE --> Eliminado Bagle.dldr
C:\Windows\System32\drivers\MDELK.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios:   17498
Nº Total de Ficheros:      138589
Nº de Ficheros Analizados: 15596
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  2

	  Sat Apr 12 18:42:19 2008
EliBagle v11.25  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Sat Apr 12 18:42:22 2008
EliBagle v11.25  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   17500
Nº Total de Ficheros:      138591
Nº de Ficheros Analizados: 15594
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Sat Apr 12 18:43:57 2008
EliBagle v11.25  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   435
Nº Total de Ficheros:      10946
Nº de Ficheros Analizados: 111
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Sat Apr 12 18:44:10 2008
EliBagle v11.25  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   435
Nº Total de Ficheros:      10946
Nº de Ficheros Analizados: 111
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Sat Apr 12 18:44:16 2008
EliBagle v11.25  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios:   16
Nº Total de Ficheros:      178
Nº de Ficheros Analizados: 4
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Sat Apr 12 18:44:28 2008
EliBagle v11.25  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios:   3
Nº Total de Ficheros:      6
Nº de Ficheros Analizados: 3
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Sat Apr 12 18:44:33 2008
EliBagle v11.25  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios:   3
Nº Total de Ficheros:      6
Nº de Ficheros Analizados: 3
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Sat Apr 12 18:44:35 2008
EliBagle v11.25  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   17500
Nº Total de Ficheros:      138591
Nº de Ficheros Analizados: 15594
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0



--------------------------------- EOF -----------------------------------------------------------


Maintenant il me reste plein d'autres problèmes du style:

- Plus d'option afficher/masquer des dossiers ou fichiers cachés

- Plus moyen d'activer/désactiver les comptes utilisateurs qui pourtant sont signalés actifs par windows

- Plus moyen de lancer le service sans fil de windows...

Bref tout un tas de modifications plus ou moins profondes dont je ne trouve pas encore d'échos sur le net.

Si quelqu'un peut m'aider...

D'avance merci.

(Je suis parti pour la soirée normalement)

dou-l · Answer

Télécharge Zeb-Restore : http://telechargement.zebulon.fr/zeb-restore.html

- Mets le dans un dossier, sur ton bureau par exemple.
- Lance Zebrestore et coche la/les case(s) suivante(s) :

- Clique sur le bouton Restaurer.
- Quitte le programme

Cédric · Answer

Hello Dou-l!

Merci pour ton idée, mais comme je n'ai pas xp j'ai cherché dans cette voie pour trouver un programme compatible avec windows Vista. J'ai trouvé quelques programmes, mais j'avoue que je ne sais lequel utiliser.

- Wise Registry Cleaner 3 Free 3.2
- Anti Trojan Elite 3.9.7
- Advanced WindowsCare Personal 2.70
- avast! Virus Cleaner 1.0.207 

A première vue, je me dirigerais plus vers le programme d'Avast... Mais je n'ai pas vraiment d'idée.

Si tu sais me conseiller ou quelqu'un d'autre.

dou-l · Answer

C'est pourquoi faire ? pour réparer ta connexion ?

Cédric · Answer

Entre autre. (qui sait)
Dans la présentation du logiciel d'avast, ils disent que le programme répare les dégats occasionnés par Bagle.
Je crois que je vais le faire tourner voir ce qu'il raconte en espérant qu'il y a un mode diagnostique sans actions.

dou-l · Answer

ok on verra pour ta  connexion apres!!

Cédric · Answer

Bon, là il tourne sur l'ordinateur qui a été infecté. Mais ca prend un certain temps et, étrangement, alors que je suis administrateur, il me dit que je n'ai pas tous les droits nécessaires pour faire un  scan complet.
Ce truc à vraiment chambouler tout mon ordi. Je me demande si je ne ferais pas mieux de faire un backup de tout ce que je veux garder sur dvd et reinstaller l'image usine de vista. Même si ca m'énnerve de devoir faire ca.

dou-l · Answer

Si tu veux mais c'est en bonne voie ...

dou-l · Answer

ta  essayer ??? 


Télécharge Zeb-Restore : http://telechargement.zebulon.fr/zeb-restore.html

- Mets le dans un dossier, sur ton bureau par exemple.
- Lance Zebrestore et coche la/les case(s) suivante(s) :

- Clique sur le bouton Restaurer.
- Quitte le programme

Cédric · Answer

Ca ne risque pas de créer des problèmes si je suis sous vista? Pcq c'est pour xp et 2000 il me semble.

dou-l · Answer

ou iattend je chercher un &quivalent !!

dou-l · Answer

Je revien demain dans la soirée a+.

AVG, node32, windows defender = down. Bagle?

34 réponses

Votre réponse

Newsletters