Sujet Précédent Sujet Suivant

Infection Bagle

Résolu
oli974 Messages postés 22 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
voilà mon ordinateur portable (tournant sous windows xp) est depuis hier infecté par bagle. J ai écumé les forums à la recherche de solutions que j 'ai presque toutes testées ( elibagle malwarebytes combofix hjackthis ccleaner, plus divers programmes de désinfections: fxbeagle antibagle).
J'ai éffacé le fichier coupable de l infection. Et j ai pu faire tourner les programmes en mode sans echec pendant un moment ce qui n'est plus possible maintenant.J'ai essayé d'effacer les entrées relatives au virus(srosa, hldrrrr, mdelk) dans la base de registre.
Evidemment impossible de lancer l antivirus (bitdefender freeedition).
j 'ai tout essayé et réessayé mais à mon avis sans méthode.
Bref Au secours!!!! je vous remercie d'avance pour vos réponses.
Cordialement.

Voici le dernier rapport obtenu avec combofix.

ComboFix 08-06-20.4 - Olivier 2008-06-23 15:01:41.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.608 [GMT 2:00]
Endroit: C:\Documents and Settings\Olivier\Bureau\Combo-Fix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SROSA

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-23 to 2008-06-23 ))))))))))))))))))))))))))))))))))))
.

2008-06-23 14:26 . 2008-06-23 14:26 <REP> d-------- C:\Program Files\Trend Micro
2008-06-23 12:48 . 2008-06-23 12:48 <REP> d-------- C:\Documents and Settings\Dysienka\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-23 03:00 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-23 00:42 . 2008-06-23 00:42 <REP> d-------- C:\Muestras
2008-06-22 20:10 . 2008-06-22 20:10 <REP> d-------- C:\Program Files\CCleaner
2008-06-22 20:05 . 2008-06-22 20:05 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Uniblue
2008-06-22 16:37 . 2008-06-22 16:37 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Shared Phrogram Files
2008-06-22 16:35 . 2008-06-22 16:35 <REP> d-------- C:\Program Files\The Phrogram Company
2008-06-20 23:23 . 2008-06-20 23:23 233,472 --a------ C:\WINDOWS\system32\ILDA32.dll
2008-06-20 23:18 . 2008-06-20 23:19 <REP> d-------- C:\coursinfo
2008-06-16 17:51 . 2008-06-16 17:52 711 --a------ C:\WINDOWS\ST5UNST.000
2008-06-16 17:51 . 2008-06-16 17:51 0 --a------ C:\WINDOWS\SETUP.LST
2008-06-14 18:57 . 2008-06-16 19:57 36 --a------ C:\WINDOWS\filog.ini
2008-06-10 20:41 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 20:41 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 10:48 . 2008-06-10 10:48 <REP> d-------- C:\Program Files\VS Revo Group
2008-06-07 18:12 . 2008-06-07 18:24 <REP> d-------- C:\Program Files\Tronics
2008-06-07 18:10 . 2008-06-07 18:20 <REP> d-------- C:\Program Files\Passware
2008-06-07 17:51 . 2008-06-22 01:12 <REP> d-------- C:\Program Files\Cain
2008-06-07 17:15 . 2008-06-12 18:14 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-07 17:15 . 2008-06-07 17:15 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-03 11:12 . 2008-06-07 17:52 <REP> d-------- C:\Program Files\WinPcap
2008-06-01 16:02 . 2008-06-01 17:24 1,062 --a------ C:\WINDOWS\ARCHPR.INI
2008-06-01 16:01 . 2008-06-01 19:17 <REP> d-------- C:\Program Files\ARCHPR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-23 08:29 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-22 22:51 --------- d-----w C:\Program Files\eMule
2008-06-22 22:16 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-06-22 22:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-22 21:40 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Skype
2008-06-22 17:35 --------- d-----w C:\Program Files\a-squared Free
2008-06-22 17:26 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\Azureus
2008-06-21 23:02 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\Skype
2008-06-19 19:10 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-06-18 07:33 --------- d-----w C:\Program Files\Azureus
2008-06-07 17:07 --------- d-----w C:\Program Files\QuickTime
2008-05-16 07:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-29 14:45 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\DivX
2008-04-29 13:53 2,232 ----a-w C:\drmHeader.bin
2008-04-29 13:26 --------- d-----w C:\Program Files\DivX
2008-04-28 14:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-19 23:28 118 ----a-w C:\PowerKit.bat
2008-04-14 21:31 604 ---ha-w C:\Program Files\STLL Notifier
2008-01-21 16:37 14 ----a-w C:\Documents and Settings\Dysienka\getfile.dat
2007-11-20 17:32 14 ----a-w C:\Documents and Settings\Olivier\getfile.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-27 10:48 7561216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"msacm.dvacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
"VIDC.XVID"= xvid.dll
"mixer"= DrvTrNTm.dll
"wave"= DrvTrNTm.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\APPS\\skype\\phone\\Skype.exe"=

R2 srundll32_serv;srundll32;C:\WINDOWS\system32\srundll32_serv.exe [2008-04-09 11:53]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 20:08]
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\system32\DRIVERS\KS-959.sys [2005-09-05 03:59]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS []
S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2005-05-12 17:24]
S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys []
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]
S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-01-28 21:31]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d644b0be-fae4-11db-afaf-001060a17d76}]
\Shell\AutoRun\command - E:\SETUP.EXE
\Shell\configure\command - E:\SETUP.EXE
\Shell\install\command - E:\SETUP.EXE

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-23 15:09:09
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-23 15:13:12 - machine was rebooted [Olivier]
ComboFix-quarantined-files.txt 2008-06-23 13:13:08

Pre-Run: 15,023,505,408 octets libres
Post-Run: 14,963,355,648 octets libres

151 --- E O F --- 2008-06-20 11:32:59

31 réponses

Précédent
  • 1
  • 2
Réponse 21 / 31
Utilisateur anonyme
 
Copie le texte ci-dessous :

File::
C:\WINDOWS\ARCHPR.INI
C:\WINDOWS\ST5UNST.000
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\system32\srundll32_serv.exe

Folder::
C:\Program Files\Fichiers communs\BOONTY Shared

Driver::
Boonty Games

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

0
Réponse 22 / 31
oli974 Messages postés 22 Statut Membre
 
est ce que je dois le faire sur le même compte et toujours en mode sans échecs??
0
Réponse 23 / 31
Utilisateur anonyme
 
fais le en mode normal sur le compte de ton choix
0
Réponse 24 / 31
oli974 Messages postés 22 Statut Membre
 
Le rapport de combofix

ComboFix 08-06-20.4 - Dysienka 2008-06-23 18:17:30.6 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.685 [GMT 2:00]
Endroit: C:\Documents and Settings\Dysienka\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Dysienka\Bureau\CFScript.txt

FILE ::
C:\WINDOWS\ARCHPR.INI
C:\WINDOWS\QTFont.for
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\ST5UNST.000
C:\WINDOWS\system32\srundll32_serv.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Fichiers communs\BOONTY Shared
C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
C:\WINDOWS\ARCHPR.INI
C:\WINDOWS\QTFont.for
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\ST5UNST.000
C:\WINDOWS\system32\srundll32_serv.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games
-------\Legacy_srundll32_serv
-------\Service_srundll32_serv

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-23 to 2008-06-23 ))))))))))))))))))))))))))))))))))))
.

2008-06-23 15:51 . 2008-02-21 18:31 1,073,745 --a------ C:\WINDOWS\system32\drivers\VBEngNT.sys
2008-06-23 15:51 . 2008-03-12 12:31 449,184 --a------ C:\WINDOWS\system32\drivers\SandBox.sys
2008-06-23 15:51 . 2008-02-27 18:28 206,352 --a------ C:\WINDOWS\system32\drivers\afw.sys
2008-06-23 15:51 . 2007-10-29 17:45 49 --a------ C:\WINDOWS\transp.gif
2008-06-23 15:50 . 2008-06-23 17:54 <REP> d-------- C:\WINDOWS\system32\Filt
2008-06-23 15:50 . 2008-06-23 15:50 <REP> d-------- C:\Program Files\Agnitum
2008-06-23 15:50 . 2008-06-23 15:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Agnitum
2008-06-23 14:26 . 2008-06-23 14:26 <REP> d-------- C:\Program Files\Trend Micro
2008-06-23 12:48 . 2008-06-23 12:48 <REP> d-------- C:\Documents and Settings\Dysienka\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-23 03:00 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-23 00:42 . 2008-06-23 00:42 <REP> d-------- C:\Muestras
2008-06-22 20:10 . 2008-06-22 20:10 <REP> d-------- C:\Program Files\CCleaner
2008-06-22 20:05 . 2008-06-22 20:05 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Uniblue
2008-06-22 16:37 . 2008-06-22 16:37 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Shared Phrogram Files
2008-06-22 16:35 . 2008-06-22 16:35 <REP> d-------- C:\Program Files\The Phrogram Company
2008-06-20 23:23 . 2008-06-20 23:23 233,472 --a------ C:\WINDOWS\system32\ILDA32.dll
2008-06-20 23:18 . 2008-06-20 23:19 <REP> d-------- C:\coursinfo
2008-06-16 17:51 . 2008-06-16 17:51 0 --a------ C:\WINDOWS\SETUP.LST
2008-06-14 18:57 . 2008-06-16 19:57 36 --a------ C:\WINDOWS\filog.ini
2008-06-10 20:41 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 20:41 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 10:48 . 2008-06-10 10:48 <REP> d-------- C:\Program Files\VS Revo Group
2008-06-07 18:12 . 2008-06-07 18:24 <REP> d-------- C:\Program Files\Tronics
2008-06-07 18:10 . 2008-06-07 18:20 <REP> d-------- C:\Program Files\Passware
2008-06-07 17:51 . 2008-06-22 01:12 <REP> d-------- C:\Program Files\Cain
2008-06-03 11:12 . 2008-06-07 17:52 <REP> d-------- C:\Program Files\WinPcap
2008-06-01 16:01 . 2008-06-01 19:17 <REP> d-------- C:\Program Files\ARCHPR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-23 08:29 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-22 22:51 --------- d-----w C:\Program Files\eMule
2008-06-22 22:16 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-06-22 22:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-22 21:40 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Skype
2008-06-22 17:35 --------- d-----w C:\Program Files\a-squared Free
2008-06-22 17:26 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\Azureus
2008-06-21 23:02 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\Skype
2008-06-19 19:10 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-06-18 07:33 --------- d-----w C:\Program Files\Azureus
2008-06-07 17:07 --------- d-----w C:\Program Files\QuickTime
2008-05-16 07:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-29 14:45 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\DivX
2008-04-29 13:53 2,232 ----a-w C:\drmHeader.bin
2008-04-29 13:26 --------- d-----w C:\Program Files\DivX
2008-04-28 14:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-19 23:28 118 ----a-w C:\PowerKit.bat
2008-04-14 21:31 604 ---ha-w C:\Program Files\STLL Notifier
2008-01-21 16:37 14 ----a-w C:\Documents and Settings\Dysienka\getfile.dat
2007-11-20 17:32 14 ----a-w C:\Documents and Settings\Olivier\getfile.dat
.

((((((((((((((((((((((((((((( snapshot@2008-06-23_17.43.33.39 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-23 15:34:43 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-23 16:25:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 15:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-27 10:48 7561216]
"OutpostMonitor"="C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" [2008-06-09 14:08 1028096]
"OutpostFeedBack"="C:\Program Files\Agnitum\Outpost Security Suite Pro\feedback.exe" [2008-05-21 18:15 419160]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\agnitum\outpos~1\wl_hook.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"msacm.dvacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
"VIDC.XVID"= xvid.dll
"mixer"= DrvTrNTm.dll
"wave"= DrvTrNTm.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\APPS\\skype\\phone\\Skype.exe"=

R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 20:08]
S1 SandBox;SandBox;C:\WINDOWS\system32\DRIVERS\SandBox.sys [2008-03-12 12:31]
S3 afw;Agnitum firewall driver;C:\WINDOWS\system32\DRIVERS\afw.sys [2008-02-27 18:28]
S3 ASWFilt;ASWFilt;C:\WINDOWS\system32\Filt\ASWFilt.dll [2008-03-12 12:32]
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\system32\DRIVERS\KS-959.sys [2005-09-05 03:59]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS []
S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2005-05-12 17:24]
S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys []
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]
S3 VBEngNT;VBEngNT;C:\WINDOWS\system32\DRIVERS\VBEngNT.sys [2008-02-21 18:31]
S3 VBFilt;VBFilt;C:\WINDOWS\system32\Filt\VBFilt.dll [2008-03-12 12:32]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-23 18:26:44
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
Temps d'accomplissement: 2008-06-23 18:33:52 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-23 16:33:47
ComboFix2.txt 2008-06-23 15:49:01
ComboFix3.txt 2008-06-23 15:44:46
ComboFix4.txt 2008-06-23 13:13:13

Pre-Run: 14,803,787,776 octets libres
Post-Run: 14,786,777,088 octets libres

167 --- E O F --- 2008-06-20 11:32:59
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 31
oli974 Messages postés 22 Statut Membre
 
Et de celui hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35, on 2008-06-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Program Files\Agnitum\Outpost Security Suite Pro\feedback.exe" /dump:os_startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.09\AMVConverter\grab.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.09\MediaManager\grab.html
O9 - Extra button: Réglage rapide de Outpost Security Suite Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Security Suite Pro\ie_bar.dll
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\PROGRA~1\A-SQUA~1\a2service.exe
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - Unknown owner - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
0
Réponse 26 / 31
Utilisateur anonyme
 
oki va sur ta session admin et test
0
Réponse 27 / 31
oli974 Messages postés 22 Statut Membre
 
je suis reparti sur la session admin c'est assez étrange tout à l air relativement stable mais j ai toujours le meme message concernant bitdefender(application win32 non valide) et quand j essaye de l le désinstaller j obtiens le message suivant au bout d un moment : "il y a un problème avec ce paquet windows installer, un programme nécéssaire à l'installation n'a pu être éxecuter".
A noter qu il ne démarre toujours pas au démarrage de la session.
0
Réponse 28 / 31
Utilisateur anonyme
 
* Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.

redémarre en mode sans echec et va sur ta session admin

* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
* Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse

Si, dans le rapport,elibaga tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

0
Réponse 29 / 31
oli974 Messages postés 22 Statut Membre
 
Bon j ai lancé elibagle et il n 'a rien trouvé j ai ensuite essayé de desinstaller manuellement bitdefender avec fileshreder et revo uninstaller j 'ai réinstallé par la suite bitdefender qui se lance sans problème et scanne.
Dans tout les cas merci beaucoup à vous pour votre disponibilité.
0
Réponse 30 / 31
oli974 Messages postés 22 Statut Membre
 
ok encore une fois merci
0
Réponse 31 / 31
Utilisateur anonyme
 
de rien t avais fais le plus gros .........
0

Discussions similaires

infection
gladiator1952 -
gladiator1952 -

6 réponses
Infection pc
Nanie24 -
Nanie24 -

22 réponses
[pnkbstra]infection
swazolie -
billou631 -

9 réponses
infection virus
Utilisateur anonyme -
Utilisateur anonyme -

3 réponses
infection winrmsrv
Connie -
Connie -

10 réponses