Infection Bagle - Page 2

Résolu
Précédent
  • 1
  • 2
Réponse 21 / 31
Utilisateur anonyme
 
Copie le texte ci-dessous :

File::
C:\WINDOWS\ARCHPR.INI
C:\WINDOWS\ST5UNST.000
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\system32\srundll32_serv.exe

Folder::
C:\Program Files\Fichiers communs\BOONTY Shared

Driver::
Boonty Games

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

0
Réponse 22 / 31
oli974 Messages postés 22 Statut Membre
 
est ce que je dois le faire sur le même compte et toujours en mode sans échecs??
0
Réponse 23 / 31
Utilisateur anonyme
 
fais le en mode normal sur le compte de ton choix
0
Réponse 24 / 31
oli974 Messages postés 22 Statut Membre
 
Le rapport de combofix

ComboFix 08-06-20.4 - Dysienka 2008-06-23 18:17:30.6 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.685 [GMT 2:00]
Endroit: C:\Documents and Settings\Dysienka\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Dysienka\Bureau\CFScript.txt

FILE ::
C:\WINDOWS\ARCHPR.INI
C:\WINDOWS\QTFont.for
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\ST5UNST.000
C:\WINDOWS\system32\srundll32_serv.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Fichiers communs\BOONTY Shared
C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
C:\WINDOWS\ARCHPR.INI
C:\WINDOWS\QTFont.for
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\ST5UNST.000
C:\WINDOWS\system32\srundll32_serv.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games
-------\Legacy_srundll32_serv
-------\Service_srundll32_serv

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-23 to 2008-06-23 ))))))))))))))))))))))))))))))))))))
.

2008-06-23 15:51 . 2008-02-21 18:31 1,073,745 --a------ C:\WINDOWS\system32\drivers\VBEngNT.sys
2008-06-23 15:51 . 2008-03-12 12:31 449,184 --a------ C:\WINDOWS\system32\drivers\SandBox.sys
2008-06-23 15:51 . 2008-02-27 18:28 206,352 --a------ C:\WINDOWS\system32\drivers\afw.sys
2008-06-23 15:51 . 2007-10-29 17:45 49 --a------ C:\WINDOWS\transp.gif
2008-06-23 15:50 . 2008-06-23 17:54 <REP> d-------- C:\WINDOWS\system32\Filt
2008-06-23 15:50 . 2008-06-23 15:50 <REP> d-------- C:\Program Files\Agnitum
2008-06-23 15:50 . 2008-06-23 15:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Agnitum
2008-06-23 14:26 . 2008-06-23 14:26 <REP> d-------- C:\Program Files\Trend Micro
2008-06-23 12:48 . 2008-06-23 12:48 <REP> d-------- C:\Documents and Settings\Dysienka\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-23 03:00 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-23 00:42 . 2008-06-23 00:42 <REP> d-------- C:\Muestras
2008-06-22 20:10 . 2008-06-22 20:10 <REP> d-------- C:\Program Files\CCleaner
2008-06-22 20:05 . 2008-06-22 20:05 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Uniblue
2008-06-22 16:37 . 2008-06-22 16:37 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Shared Phrogram Files
2008-06-22 16:35 . 2008-06-22 16:35 <REP> d-------- C:\Program Files\The Phrogram Company
2008-06-20 23:23 . 2008-06-20 23:23 233,472 --a------ C:\WINDOWS\system32\ILDA32.dll
2008-06-20 23:18 . 2008-06-20 23:19 <REP> d-------- C:\coursinfo
2008-06-16 17:51 . 2008-06-16 17:51 0 --a------ C:\WINDOWS\SETUP.LST
2008-06-14 18:57 . 2008-06-16 19:57 36 --a------ C:\WINDOWS\filog.ini
2008-06-10 20:41 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 20:41 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 10:48 . 2008-06-10 10:48 <REP> d-------- C:\Program Files\VS Revo Group
2008-06-07 18:12 . 2008-06-07 18:24 <REP> d-------- C:\Program Files\Tronics
2008-06-07 18:10 . 2008-06-07 18:20 <REP> d-------- C:\Program Files\Passware
2008-06-07 17:51 . 2008-06-22 01:12 <REP> d-------- C:\Program Files\Cain
2008-06-03 11:12 . 2008-06-07 17:52 <REP> d-------- C:\Program Files\WinPcap
2008-06-01 16:01 . 2008-06-01 19:17 <REP> d-------- C:\Program Files\ARCHPR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-23 08:29 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-22 22:51 --------- d-----w C:\Program Files\eMule
2008-06-22 22:16 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-06-22 22:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-22 21:40 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Skype
2008-06-22 17:35 --------- d-----w C:\Program Files\a-squared Free
2008-06-22 17:26 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\Azureus
2008-06-21 23:02 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\Skype
2008-06-19 19:10 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-06-18 07:33 --------- d-----w C:\Program Files\Azureus
2008-06-07 17:07 --------- d-----w C:\Program Files\QuickTime
2008-05-16 07:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-29 14:45 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\DivX
2008-04-29 13:53 2,232 ----a-w C:\drmHeader.bin
2008-04-29 13:26 --------- d-----w C:\Program Files\DivX
2008-04-28 14:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-19 23:28 118 ----a-w C:\PowerKit.bat
2008-04-14 21:31 604 ---ha-w C:\Program Files\STLL Notifier
2008-01-21 16:37 14 ----a-w C:\Documents and Settings\Dysienka\getfile.dat
2007-11-20 17:32 14 ----a-w C:\Documents and Settings\Olivier\getfile.dat
.

((((((((((((((((((((((((((((( snapshot@2008-06-23_17.43.33.39 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-23 15:34:43 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-23 16:25:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 15:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-27 10:48 7561216]
"OutpostMonitor"="C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" [2008-06-09 14:08 1028096]
"OutpostFeedBack"="C:\Program Files\Agnitum\Outpost Security Suite Pro\feedback.exe" [2008-05-21 18:15 419160]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\agnitum\outpos~1\wl_hook.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"msacm.dvacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
"VIDC.XVID"= xvid.dll
"mixer"= DrvTrNTm.dll
"wave"= DrvTrNTm.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\APPS\\skype\\phone\\Skype.exe"=

R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 20:08]
S1 SandBox;SandBox;C:\WINDOWS\system32\DRIVERS\SandBox.sys [2008-03-12 12:31]
S3 afw;Agnitum firewall driver;C:\WINDOWS\system32\DRIVERS\afw.sys [2008-02-27 18:28]
S3 ASWFilt;ASWFilt;C:\WINDOWS\system32\Filt\ASWFilt.dll [2008-03-12 12:32]
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\system32\DRIVERS\KS-959.sys [2005-09-05 03:59]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS []
S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2005-05-12 17:24]
S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys []
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]
S3 VBEngNT;VBEngNT;C:\WINDOWS\system32\DRIVERS\VBEngNT.sys [2008-02-21 18:31]
S3 VBFilt;VBFilt;C:\WINDOWS\system32\Filt\VBFilt.dll [2008-03-12 12:32]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-23 18:26:44
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
Temps d'accomplissement: 2008-06-23 18:33:52 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-23 16:33:47
ComboFix2.txt 2008-06-23 15:49:01
ComboFix3.txt 2008-06-23 15:44:46
ComboFix4.txt 2008-06-23 13:13:13

Pre-Run: 14,803,787,776 octets libres
Post-Run: 14,786,777,088 octets libres

167 --- E O F --- 2008-06-20 11:32:59
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 31
oli974 Messages postés 22 Statut Membre
 
Et de celui hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35, on 2008-06-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Program Files\Agnitum\Outpost Security Suite Pro\feedback.exe" /dump:os_startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.09\AMVConverter\grab.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.09\MediaManager\grab.html
O9 - Extra button: Réglage rapide de Outpost Security Suite Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Security Suite Pro\ie_bar.dll
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\PROGRA~1\A-SQUA~1\a2service.exe
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - Unknown owner - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
0
Réponse 26 / 31
Utilisateur anonyme
 
oki va sur ta session admin et test
0
Réponse 27 / 31
oli974 Messages postés 22 Statut Membre
 
je suis reparti sur la session admin c'est assez étrange tout à l air relativement stable mais j ai toujours le meme message concernant bitdefender(application win32 non valide) et quand j essaye de l le désinstaller j obtiens le message suivant au bout d un moment : "il y a un problème avec ce paquet windows installer, un programme nécéssaire à l'installation n'a pu être éxecuter".
A noter qu il ne démarre toujours pas au démarrage de la session.
0
Réponse 28 / 31
Utilisateur anonyme
 
* Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.

redémarre en mode sans echec et va sur ta session admin

* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
* Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse

Si, dans le rapport,elibaga tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

0
Réponse 29 / 31
oli974 Messages postés 22 Statut Membre
 
Bon j ai lancé elibagle et il n 'a rien trouvé j ai ensuite essayé de desinstaller manuellement bitdefender avec fileshreder et revo uninstaller j 'ai réinstallé par la suite bitdefender qui se lance sans problème et scanne.
Dans tout les cas merci beaucoup à vous pour votre disponibilité.
0
Réponse 30 / 31
oli974 Messages postés 22 Statut Membre
 
ok encore une fois merci
0
Réponse 31 / 31
Utilisateur anonyme
 
de rien t avais fais le plus gros .........
0
Précédent
  • 1
  • 2

Discussions similaires

infection par bagle
justemoi -
Lyonnais92 -

6 réponses
infecté par Bagle
Substrat -
Substrat -

28 réponses
Infection BAGLE --> rapport FINDYKILL
extrapitou -
gen-hackman -

28 réponses
Infection
toast3r -
toast3r -

44 réponses
infection
céline0034 -
totobetourne -

12 réponses