Se débarasser de Bagle (.afu) ?
Résolu
milotte2
Messages postés
34
Statut
Membre
-
Destrio5 Messages postés 99820 Date d'inscription Statut Modérateur Dernière intervention -
Destrio5 Messages postés 99820 Date d'inscription Statut Modérateur Dernière intervention -
Bonjour,
Je crois que mon ordi est infecté par Bagle. Si quelqu'un pouvait m'aider... voilà toutes les infos et ce que j'ai déjà fait pour éradiquer ce truc.
Tout a commencé hier soir :
- Mon ordi s'arrête d'un coup (ecran bleu crash dumping) puis redémarre
- Avast m'indique alors qu'une application tente de le fermer puis il s'arrête, l'icône disparait et quand je tente de le relancer, le message suivant apparait : application non valide
- En même temps un autre message m'explique que ma carte WIFI n'est plus compatible et me propose un truc que je refuse. Et un autre message m'informe qu'un utilisateur externe a essayé de modifier mon moteur de recherche par defaut et me propose Yahoo au lieu de Google (je refuse egalement). A noter : ces deux messages reviendront en boucle par la suite.
J'essaye donc :
1 - de faire une restauration système qui echoue
2 - je desintalle avast avec aswclear en mode sans echec puis le reinstalle mais le message est toujours le même : application non valide.
3 - j'essaye Findkill : apres 20 min de recherches, il me met : system error
4 - j'essaye Eliblaga qui m'affiche 4 accès refusés aux dossiers :
C:\Windows\Registration\CRMlog (16)
C:\Windows\System32\com\dmp (16)
C:\Windows\System32\LogFiles\WMI\Rtbackup (16)
C:\Windows\System32\Spool\PRINTERS (16)
Et enfin ne trouve rien et me donne un rapport (que Windows ne trouve plus désormais!!)
5 - Je tente Combofix qui ne marche pas
6 - je tente antivir qui me trouve ceci lors du premier scan :
Virus or unwanted program 'TR/Dldr.Bagle.afu [trojan]'
detected in file 'C:\Program Files\Dell Support Center\bin\sprtcmd.exe.
Action performed: Move file to quarantine
et ceci lors du second :
Virus or unwanted program 'TR/Dldr.Bagle.afu [trojan]'
detected in file 'C:\Qoobox\Quarantine\C\Windows\System32\drivers\winfilse.exe.vir.
Action performed: Move file to quarantine
Virus or unwanted program 'Eicar-Test-Signature [virus]'
detected in file 'C:\ComboFix\N_\17100.
Action performed: Move file to quarantine
The file 'C:\Windows\System32\drivers\winfilse.exe'
contained a virus or unwanted program 'TR/Dldr.Bagle.afu' [trojan]
Action(s) taken:
A backup was created as '4988d26e.qua' ( QUARANTINE ).
Attempting to perform action using the ARK lib.
A backup was created as '41b742e7.qua' ( QUARANTINE ).
7 - Je retente combofix, qui cette fois marche, voici le rapport :
ComboFix 08-11-11.01 - Butterfly 2008-11-12 14:00:54.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.1433 [GMT 1:00]
Lancé depuis: c:\users\Butterfly\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\InfoSat.txt
c:\windows\system32\drivers\downld
c:\windows\system32\drivers\winfilse.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SROSA
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-12 au 2008-11-12 ))))))))))))))))))))))))))))))))))))
.
2008-11-12 12:19 . 2008-11-12 13:17 <REP> d-------- c:\users\All Users\Spybot - Search & Destroy
2008-11-12 12:19 . 2008-11-12 12:20 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-11-12 12:19 . 2008-11-12 13:17 <REP> d-------- c:\progra~2\Spybot - Search & Destroy
2008-11-12 01:40 . 2008-11-12 01:40 <REP> d-------- c:\users\All Users\Avira
2008-11-12 01:40 . 2008-11-12 01:40 <REP> d-------- c:\program files\Avira
2008-11-12 01:40 . 2008-11-12 01:40 <REP> d-------- c:\progra~2\Avira
2008-11-12 00:39 . 2008-11-12 00:39 0 --ah----- C:\ntuser.dat.LOG2
2008-11-12 00:39 . 2008-11-12 00:39 0 --ah----- C:\ntuser.dat.LOG1
2008-11-12 00:39 . 2008-11-12 00:39 0 --a------ C:\ntuser.dat
2008-11-11 23:45 . 2008-11-12 00:07 <REP> d-------- c:\program files\FindyKill
2008-11-11 21:56 . 2008-11-11 23:34 7,168 --a------ c:\windows\System32\drivers\srosa2.sys
2008-11-11 20:22 . 2008-11-11 20:22 <REP> d-------- c:\program files\WIDI 3.3 Std
2008-11-11 19:22 . 2008-11-11 19:22 <REP> d-------- c:\program files\Search Settings
2008-11-11 19:16 . 2008-11-11 19:17 <REP> d-------- c:\program files\Free Video Converter
2008-11-11 18:06 . 2008-11-11 18:06 <REP> d-------- c:\users\All Users\WindowsSearch
2008-11-11 18:06 . 2008-11-11 18:06 <REP> d-------- c:\progra~2\WindowsSearch
2008-11-10 20:09 . 2008-11-10 20:32 43,520 --a------ c:\windows\System32\CmdLineExt03.dll
2008-11-10 20:03 . 2008-11-10 20:03 <REP> d-------- c:\program files\Atari
2008-11-03 14:20 . 2008-11-03 14:20 268 --ah----- C:\sqmdata17.sqm
2008-11-03 14:20 . 2008-11-03 14:20 244 --ah----- C:\sqmnoopt17.sqm
2008-11-01 19:30 . 2008-11-01 19:30 268 --ah----- C:\sqmdata16.sqm
2008-11-01 19:30 . 2008-11-01 19:30 244 --ah----- C:\sqmnoopt16.sqm
2008-11-01 19:12 . 2008-11-01 19:12 268 --ah----- C:\sqmdata15.sqm
2008-11-01 19:12 . 2008-11-01 19:12 244 --ah----- C:\sqmnoopt15.sqm
2008-10-29 11:29 . 2008-08-12 04:39 443,392 --a------ c:\windows\System32\win32spl.dll
2008-10-29 11:29 . 2008-09-18 05:56 147,456 --a------ c:\windows\System32\Faultrep.dll
2008-10-29 11:29 . 2008-09-18 05:56 125,952 --a------ c:\windows\System32\wersvc.dll
2008-10-23 09:08 . 2008-08-05 10:49 428,544 --a------ c:\windows\System32\EncDec.dll
2008-10-23 09:08 . 2008-08-05 10:49 293,376 --a------ c:\windows\System32\psisdecd.dll
2008-10-23 09:08 . 2008-08-05 10:48 217,088 --a------ c:\windows\System32\psisrndr.ax
2008-10-23 09:08 . 2008-08-05 10:48 177,664 --a------ c:\windows\System32\mpg2splt.ax
2008-10-23 09:08 . 2008-08-05 10:48 80,896 --a------ c:\windows\System32\MSNP.ax
2008-10-20 13:27 . 2008-10-20 13:27 <REP> d-------- c:\program files\Guitar Pro 5
2008-10-19 18:06 . 2008-11-11 21:53 <REP> d-------- c:\program files\eMule
2008-10-15 16:45 . 2008-09-18 06:09 3,601,464 --a------ c:\windows\System32\ntkrnlpa.exe
2008-10-15 16:45 . 2008-09-18 06:09 3,549,240 --a------ c:\windows\System32\ntoskrnl.exe
2008-10-15 16:45 . 2008-09-18 03:16 2,032,640 --a------ c:\windows\System32\win32k.sys
2008-10-15 16:45 . 2008-10-02 02:32 1,383,424 --a------ c:\windows\System32\mshtml.tlb
2008-10-15 16:45 . 2008-10-02 04:49 827,392 --a------ c:\windows\System32\wininet.dll
2008-10-15 16:45 . 2008-08-27 02:06 288,768 --a------ c:\windows\System32\drivers\srv.sys
2008-10-13 23:15 . 2008-10-13 23:16 <REP> d-------- c:\program files\Freeplayer
2008-10-12 21:07 . 2008-10-12 21:07 <REP> d-------- c:\windows\SoftR
2008-10-12 14:40 . 2008-11-11 16:23 <REP> d-------- c:\users\All Users\Roxio
2008-10-12 14:40 . 2008-11-11 16:23 <REP> d-------- c:\progra~2\Roxio
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 00:30 --------- d-----w c:\program files\Alwil Software
2008-11-11 21:55 --------- d-----w c:\program files\Winamp
2008-11-10 19:03 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-04 11:40 --------- d-----w c:\program files\Zylom Games
2008-11-04 09:42 --------- d-----w c:\program files\Dl_cats
2008-11-02 05:17 --------- d-----w c:\program files\VideoLAN
2008-10-28 10:42 --------- d-----w c:\program files\Dell Fax Solutions
2008-10-17 12:26 --------- d-----w c:\program files\Windows Mail
2008-10-12 23:31 --------- d-----w c:\program files\Roxio
2008-10-12 13:39 --------- d-----w c:\progra~2\Sonic
2008-09-29 13:43 13 ---h--w c:\users\All Users\ÝÙÃÄ3113›.sys
2008-09-29 13:43 13 ---h--w c:\progra~2\ÝÙÃÄ3113›.sys
2008-09-29 10:36 --------- d-----w c:\program files\Common Files\Macrovision Shared
2008-09-29 10:36 --------- d-----w c:\program files\Common Files\Adobe
2008-09-29 10:11 --------- d-----w c:\program files\Bonjour
2008-09-25 15:14 --------- d-----w c:\program files\Macromedia
2008-09-25 15:12 --------- d-----w c:\program files\Common Files\Macromedia
2008-09-25 14:19 --------- d-----w c:\program files\Common Files\InstallShield
2008-09-21 22:26 --------- d-----w c:\progra~2\Zylom
2008-09-20 14:35 --------- d-----w c:\progra~2\FLEXnet
2008-09-02 10:27 82,432 ----a-w c:\windows\System32\axaltocm.dll
2008-09-02 10:27 101,888 ----a-w c:\windows\System32\ifxcardm.dll
2008-09-01 11:58 174 --sha-w c:\program files\desktop.ini
2008-08-17 22:49 61,440 ----a-w c:\windows\System32\winipsec.dll
2008-08-17 22:49 361,984 ----a-w c:\windows\System32\IPSECSVC.DLL
2008-08-17 22:49 28,672 ----a-w c:\windows\System32\FwRemoteSvr.dll
2008-08-17 22:49 272,896 ----a-w c:\windows\System32\polstore.dll
2008-08-17 22:47 2,048 ----a-w c:\windows\System32\tzres.dll
2008-08-17 22:43 801,280 ----a-w c:\windows\System32\NaturalLanguage6.dll
2008-08-17 22:43 6,917,120 ----a-w c:\windows\System32\NlsLexicons0c1a.dll
2008-08-17 22:43 4,495,360 ----a-w c:\windows\System32\NlsData0816.dll
2008-08-17 22:43 4,495,360 ----a-w c:\windows\System32\NlsData0416.dll
2008-08-17 22:43 4,495,360 ----a-w c:\windows\System32\NlsData0414.dll
2008-08-17 22:43 1,965,056 ----a-w c:\windows\System32\NlsData0c1a.dll
2008-08-17 22:43 1,965,056 ----a-w c:\windows\System32\NlsData081a.dll
2008-08-17 22:43 1,965,056 ----a-w c:\windows\System32\NlsData000f.dll
2008-08-17 22:41 988,216 ----a-w c:\windows\System32\winload.exe
2008-08-17 22:41 927,288 ----a-w c:\windows\System32\winresume.exe
2008-08-17 22:41 615,992 ----a-w c:\windows\System32\ci.dll
2008-08-17 22:41 6,656 ----a-w c:\windows\System32\kbd106n.dll
2008-08-17 22:41 46,592 ----a-w c:\windows\System32\setbcdlocale.dll
2008-08-17 22:41 40,960 ----a-w c:\windows\System32\srclient.dll
2008-08-17 22:41 378,368 ----a-w c:\windows\System32\srcore.dll
2008-08-17 22:41 318,464 ----a-w c:\windows\System32\rstrui.exe
2008-08-17 22:41 19,000 ----a-w c:\windows\System32\kd1394.dll
2008-08-17 22:41 181,760 ----a-w c:\windows\System32\fsquirt.exe
2008-08-17 22:41 14,848 ----a-w c:\windows\System32\srdelayed.exe
2008-08-17 22:39 541,696 ----a-w c:\windows\AppPatch\AcLayers.dll
2008-08-17 22:39 295,936 ----a-w c:\windows\System32\gdi32.dll
2008-08-17 22:39 2,560 ----a-w c:\windows\AppPatch\AcRes.dll
2008-08-17 22:39 14,848 ----a-w c:\windows\System32\wshrm.dll
2008-08-17 22:39 1,695,744 ----a-w c:\windows\System32\gameux.dll
2008-08-17 22:18 84,480 ----a-w c:\windows\System32\INETRES.dll
2008-08-17 22:18 738,304 ----a-w c:\windows\System32\inetcomm.dll
2008-08-17 22:18 1,314,816 ----a-w c:\windows\System32\quartz.dll
2008-08-12 15:13 1,942,864 ----a-w c:\windows\System32\Skype4COM.dll
2008-03-29 09:02 76 --sha-r c:\windows\CT4CET.bin
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-29 68856]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"Google Update"="c:\users\Butterfly\AppData\Local\Google\Update\GoogleUpdate.exe" [2008-09-08 133104]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-01-18 17920]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2007-09-07 159744]
"OEM02Mon.exe"="c:\windows\OEM02Mon.exe" [2007-08-28 36864]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-06 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-06 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-06 133656]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2008-03-29 77824]
"DELL Webcam Manager"="c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-03-29 1838592]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-02-13 16384]
"PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2007-11-01 189736]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-04 36352]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-11-12 405504]
"dlcgmon.exe"="c:\program files\Dell AIO 810\dlcgmon.exe" [2007-01-12 435696]
"FaxCenterServer"="c:\program files\Dell Fax Solutions\fm3032.exe" [2006-11-04 312200]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"DLCGCATS"="c:\windows\system32\spool\DRIVERS\W32X86\3\DLCGtime.dll" [2006-10-21 73728]
"SearchSettings"="c:\program files\Search Settings\SearchSettings.exe" [2008-06-12 991584]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-03 703280]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-03-29 50688]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2007-09-07 1180952]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GOEC62~1.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3803365911-4285532448-4267708848-1000]
"EnableNotificationsRef"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{9BD1FDBE-91F6-41C0-9499-8A861611CC30}"= c:\program files\Dell\MediaDirect\MediaDirect.exe:Dell MediaDirect
"{6981E36A-CB49-4473-976E-3B921CDC7A22}"= c:\program files\Dell\MediaDirect\PCMService.exe:CyberLink PowerCinema Resident Program
"{1E660102-BB83-4A3D-8884-E0CC3AC31FDE}"= c:\program files\Dell\MediaDirect\Kernel\DMP\CLBrowserEngine.exe:Cyberlink Media Server Browser Engine
"{F10E0D36-C880-41D4-BD39-70D2D8699DDB}"= c:\program files\Dell\MediaDirect\Kernel\DMS\CLMSService.exe:CyberLink Media Server
"{9989956D-1949-4F5C-912F-EAF7D214F947}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{9D969600-F5BE-48D6-9080-FD77EFCF6F0C}"= UDP:c:\program files\Winamp Remote\bin\Orb.exe:Orb
"{888A6A39-F728-48B0-9733-123AC95F9BAA}"= TCP:c:\program files\Winamp Remote\bin\Orb.exe:Orb
"{3E984740-3295-4F20-B1FB-E4CA00DEC235}"= UDP:c:\program files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{0A65DC7A-3511-4CAD-A5B4-8040358EA63B}"= TCP:c:\program files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{ABFAADDC-C228-4F4F-8749-0CEAD40F416F}"= UDP:c:\program files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{2EF125C1-9C92-47D4-BD7C-3BE0B773DFAB}"= TCP:c:\program files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{D6A0D422-FECB-4997-9881-90C8067D588E}"= UDP:c:\program files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{66544FA3-AE5E-4C3D-A532-CAEFECE8B557}"= TCP:c:\program files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{594295D1-55CD-4637-A986-7972EB4B787A}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{6DFCF0F9-9683-44D0-ABBD-12C8761710F2}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{0DF61F72-398F-4284-92B8-21CBFFEC3B65}"= UDP:c:\windows\System32\dlcgcoms.exe:Lexmark Communications System
"{47BD601E-E21E-4121-9F22-66D349F18337}"= TCP:c:\windows\System32\dlcgcoms.exe:Lexmark Communications System
"{6A7A315B-6909-42BB-AFF0-13E6AC463363}"= UDP:c:\windows\System32\spool\drivers\w32x86\3\dlcgpswx.exe:Printer Status Window
"{92940154-3A4D-40AB-9F00-3FE2344AE710}"= TCP:c:\windows\System32\spool\drivers\w32x86\3\dlcgpswx.exe:Printer Status Window
"{E02C227D-3E28-4CBB-88B6-9EA8179B7B9E}"= UDP:c:\program files\Dell AIO 810\dlcgmon.exe:Device Monitor
"{79A16A7A-FCD2-4AE3-9D9E-5B39E2ECE2F7}"= TCP:c:\program files\Dell AIO 810\dlcgmon.exe:Device Monitor
"{62A6C95F-69FA-4209-A032-79F18724A2E7}"= UDP:c:\program files\Dell AIO 810\DLCGaiox.exe:All In One Center
"{CF6826E8-2835-4EC2-8374-D2D7AED1AF36}"= TCP:c:\program files\Dell AIO 810\DLCGaiox.exe:All In One Center
"{5DFDF1C6-1CC3-4F48-B223-F037634F87A4}"= UDP:c:\program files\Abbyy FineReader 6.0 Sprint\Scan\ScanMan6.exe:FineScanManager
"{2D19EC25-4296-4B5E-AFFE-61F5DADB7941}"= TCP:c:\program files\Abbyy FineReader 6.0 Sprint\Scan\ScanMan6.exe:FineScanManager
"TCP Query User{29AD87E0-8FB9-499A-BED6-E698FBA2CEAB}c:\\program files\\freeplayer\\vlc\\vlc.exe"= UDP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player
"UDP Query User{33A2DD35-15A4-4432-8902-A5C4675DD3AC}c:\\program files\\freeplayer\\vlc\\vlc.exe"= TCP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player
"TCP Query User{3F9A56E0-1694-445B-8667-67F4C2CB73A8}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{70A775F8-66FB-486F-A764-A076318A88A7}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"TCP Query User{D8B3DF2E-15DE-44DB-854D-1D3A888ABFB9}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{B0DABF30-A06C-47A4-8020-B418B8C1CBE5}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"TCP Query User{F492DB34-0F21-46C6-9135-6BA06458404F}c:\\program files\\freeplayer\\vlc\\vlc.exe"= UDP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player
"UDP Query User{E7F80932-AA28-46F2-A891-D19B64803ECD}c:\\program files\\freeplayer\\vlc\\vlc.exe"= TCP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player
R1 sK9Ou0s;sK9Ou0s;c:\windows\system32\drivers\srosa2.sys [2008-11-11 7168]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-11-12 73728]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [2008-03-06 111616]
R3 OEM02Dev;Creative Camera OEM002 Driver;c:\windows\system32\DRIVERS\OEM02Dev.sys [2007-08-28 235520]
R3 OEM02Vfx;Creative Camera OEM002 Video VFX Driver;c:\windows\system32\DRIVERS\OEM02Vfx.sys [2007-08-28 7424]
S3 Huawei;HUAWEI Mobile Connect - USB Smart Card Reader;c:\windows\system32\DRIVERS\ewdcsc.sys [2007-08-09 23424]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{032a3854-7379-11dd-9344-001f3b1e4529}]
\shell\AutoRun\command - F:\setup_vmc_lite.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4a9af51-6ea2-11dd-bba8-001f3b1e4529}]
\shell\AutoRun\command - F:\setup_vmc_lite.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4a9af5e-6ea2-11dd-bba8-001f3b1e4529}]
\shell\AutoRun\command - F:\setup_vmc_lite.exe
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-DellSupportCenter - c:\program files\Dell Support Center\bin\sprtcmd.exe
HKLM-Run-DellSupportCenter - c:\program files\Dell Support Center\bin\sprtcmd.exe
.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://google.mini20.com
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
O8 -: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{06413BF1-65B4-4CD8-9554-21BB43D12DB3}: NameServer = 212.27.40.241,212.27.40.240
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-12 14:08:28
Windows 6.0.6001 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\audiodg.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\dlcgcoms.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Dell Support Center\bin\sprtsvc.exe
c:\windows\System32\stacsv.exe
c:\windows\System32\drivers\XAudio.exe
c:\windows\System32\conime.exe
c:\windows\System32\igfxsrvc.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\Windows Media Player\wmpnscfg.exe
c:\program files\DellTPad\ApntEx.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\DellTPad\hidfind.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2008-11-12 14:21:38 - La machine a redémarré [Butterfly]
ComboFix-quarantined-files.txt 2008-11-12 13:21:19
Avant-CF: 49,370,742,784 octets libres
Après-CF: 49,444,769,792 octets libres
263 --- E O F --- 2008-11-07 10:40:07
MA QUESTION : Le virus est-il encore là ? Que dois-je faire d'autre ?
Je vais relancer antivir une troisième fois, histoire de voir ce qu'il me trouve... Je suis free lance donc autant dire que sans ordi ou avec un ordi vérolé, c'est la M...
J'espère que quelqu'un de calé en informatique (ce qui n'est pas mon cas malheureusement) saura m'aider. Merci par avance de vos réponses... :)
Je crois que mon ordi est infecté par Bagle. Si quelqu'un pouvait m'aider... voilà toutes les infos et ce que j'ai déjà fait pour éradiquer ce truc.
Tout a commencé hier soir :
- Mon ordi s'arrête d'un coup (ecran bleu crash dumping) puis redémarre
- Avast m'indique alors qu'une application tente de le fermer puis il s'arrête, l'icône disparait et quand je tente de le relancer, le message suivant apparait : application non valide
- En même temps un autre message m'explique que ma carte WIFI n'est plus compatible et me propose un truc que je refuse. Et un autre message m'informe qu'un utilisateur externe a essayé de modifier mon moteur de recherche par defaut et me propose Yahoo au lieu de Google (je refuse egalement). A noter : ces deux messages reviendront en boucle par la suite.
J'essaye donc :
1 - de faire une restauration système qui echoue
2 - je desintalle avast avec aswclear en mode sans echec puis le reinstalle mais le message est toujours le même : application non valide.
3 - j'essaye Findkill : apres 20 min de recherches, il me met : system error
4 - j'essaye Eliblaga qui m'affiche 4 accès refusés aux dossiers :
C:\Windows\Registration\CRMlog (16)
C:\Windows\System32\com\dmp (16)
C:\Windows\System32\LogFiles\WMI\Rtbackup (16)
C:\Windows\System32\Spool\PRINTERS (16)
Et enfin ne trouve rien et me donne un rapport (que Windows ne trouve plus désormais!!)
5 - Je tente Combofix qui ne marche pas
6 - je tente antivir qui me trouve ceci lors du premier scan :
Virus or unwanted program 'TR/Dldr.Bagle.afu [trojan]'
detected in file 'C:\Program Files\Dell Support Center\bin\sprtcmd.exe.
Action performed: Move file to quarantine
et ceci lors du second :
Virus or unwanted program 'TR/Dldr.Bagle.afu [trojan]'
detected in file 'C:\Qoobox\Quarantine\C\Windows\System32\drivers\winfilse.exe.vir.
Action performed: Move file to quarantine
Virus or unwanted program 'Eicar-Test-Signature [virus]'
detected in file 'C:\ComboFix\N_\17100.
Action performed: Move file to quarantine
The file 'C:\Windows\System32\drivers\winfilse.exe'
contained a virus or unwanted program 'TR/Dldr.Bagle.afu' [trojan]
Action(s) taken:
A backup was created as '4988d26e.qua' ( QUARANTINE ).
Attempting to perform action using the ARK lib.
A backup was created as '41b742e7.qua' ( QUARANTINE ).
7 - Je retente combofix, qui cette fois marche, voici le rapport :
ComboFix 08-11-11.01 - Butterfly 2008-11-12 14:00:54.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.1433 [GMT 1:00]
Lancé depuis: c:\users\Butterfly\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\InfoSat.txt
c:\windows\system32\drivers\downld
c:\windows\system32\drivers\winfilse.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SROSA
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-12 au 2008-11-12 ))))))))))))))))))))))))))))))))))))
.
2008-11-12 12:19 . 2008-11-12 13:17 <REP> d-------- c:\users\All Users\Spybot - Search & Destroy
2008-11-12 12:19 . 2008-11-12 12:20 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-11-12 12:19 . 2008-11-12 13:17 <REP> d-------- c:\progra~2\Spybot - Search & Destroy
2008-11-12 01:40 . 2008-11-12 01:40 <REP> d-------- c:\users\All Users\Avira
2008-11-12 01:40 . 2008-11-12 01:40 <REP> d-------- c:\program files\Avira
2008-11-12 01:40 . 2008-11-12 01:40 <REP> d-------- c:\progra~2\Avira
2008-11-12 00:39 . 2008-11-12 00:39 0 --ah----- C:\ntuser.dat.LOG2
2008-11-12 00:39 . 2008-11-12 00:39 0 --ah----- C:\ntuser.dat.LOG1
2008-11-12 00:39 . 2008-11-12 00:39 0 --a------ C:\ntuser.dat
2008-11-11 23:45 . 2008-11-12 00:07 <REP> d-------- c:\program files\FindyKill
2008-11-11 21:56 . 2008-11-11 23:34 7,168 --a------ c:\windows\System32\drivers\srosa2.sys
2008-11-11 20:22 . 2008-11-11 20:22 <REP> d-------- c:\program files\WIDI 3.3 Std
2008-11-11 19:22 . 2008-11-11 19:22 <REP> d-------- c:\program files\Search Settings
2008-11-11 19:16 . 2008-11-11 19:17 <REP> d-------- c:\program files\Free Video Converter
2008-11-11 18:06 . 2008-11-11 18:06 <REP> d-------- c:\users\All Users\WindowsSearch
2008-11-11 18:06 . 2008-11-11 18:06 <REP> d-------- c:\progra~2\WindowsSearch
2008-11-10 20:09 . 2008-11-10 20:32 43,520 --a------ c:\windows\System32\CmdLineExt03.dll
2008-11-10 20:03 . 2008-11-10 20:03 <REP> d-------- c:\program files\Atari
2008-11-03 14:20 . 2008-11-03 14:20 268 --ah----- C:\sqmdata17.sqm
2008-11-03 14:20 . 2008-11-03 14:20 244 --ah----- C:\sqmnoopt17.sqm
2008-11-01 19:30 . 2008-11-01 19:30 268 --ah----- C:\sqmdata16.sqm
2008-11-01 19:30 . 2008-11-01 19:30 244 --ah----- C:\sqmnoopt16.sqm
2008-11-01 19:12 . 2008-11-01 19:12 268 --ah----- C:\sqmdata15.sqm
2008-11-01 19:12 . 2008-11-01 19:12 244 --ah----- C:\sqmnoopt15.sqm
2008-10-29 11:29 . 2008-08-12 04:39 443,392 --a------ c:\windows\System32\win32spl.dll
2008-10-29 11:29 . 2008-09-18 05:56 147,456 --a------ c:\windows\System32\Faultrep.dll
2008-10-29 11:29 . 2008-09-18 05:56 125,952 --a------ c:\windows\System32\wersvc.dll
2008-10-23 09:08 . 2008-08-05 10:49 428,544 --a------ c:\windows\System32\EncDec.dll
2008-10-23 09:08 . 2008-08-05 10:49 293,376 --a------ c:\windows\System32\psisdecd.dll
2008-10-23 09:08 . 2008-08-05 10:48 217,088 --a------ c:\windows\System32\psisrndr.ax
2008-10-23 09:08 . 2008-08-05 10:48 177,664 --a------ c:\windows\System32\mpg2splt.ax
2008-10-23 09:08 . 2008-08-05 10:48 80,896 --a------ c:\windows\System32\MSNP.ax
2008-10-20 13:27 . 2008-10-20 13:27 <REP> d-------- c:\program files\Guitar Pro 5
2008-10-19 18:06 . 2008-11-11 21:53 <REP> d-------- c:\program files\eMule
2008-10-15 16:45 . 2008-09-18 06:09 3,601,464 --a------ c:\windows\System32\ntkrnlpa.exe
2008-10-15 16:45 . 2008-09-18 06:09 3,549,240 --a------ c:\windows\System32\ntoskrnl.exe
2008-10-15 16:45 . 2008-09-18 03:16 2,032,640 --a------ c:\windows\System32\win32k.sys
2008-10-15 16:45 . 2008-10-02 02:32 1,383,424 --a------ c:\windows\System32\mshtml.tlb
2008-10-15 16:45 . 2008-10-02 04:49 827,392 --a------ c:\windows\System32\wininet.dll
2008-10-15 16:45 . 2008-08-27 02:06 288,768 --a------ c:\windows\System32\drivers\srv.sys
2008-10-13 23:15 . 2008-10-13 23:16 <REP> d-------- c:\program files\Freeplayer
2008-10-12 21:07 . 2008-10-12 21:07 <REP> d-------- c:\windows\SoftR
2008-10-12 14:40 . 2008-11-11 16:23 <REP> d-------- c:\users\All Users\Roxio
2008-10-12 14:40 . 2008-11-11 16:23 <REP> d-------- c:\progra~2\Roxio
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 00:30 --------- d-----w c:\program files\Alwil Software
2008-11-11 21:55 --------- d-----w c:\program files\Winamp
2008-11-10 19:03 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-04 11:40 --------- d-----w c:\program files\Zylom Games
2008-11-04 09:42 --------- d-----w c:\program files\Dl_cats
2008-11-02 05:17 --------- d-----w c:\program files\VideoLAN
2008-10-28 10:42 --------- d-----w c:\program files\Dell Fax Solutions
2008-10-17 12:26 --------- d-----w c:\program files\Windows Mail
2008-10-12 23:31 --------- d-----w c:\program files\Roxio
2008-10-12 13:39 --------- d-----w c:\progra~2\Sonic
2008-09-29 13:43 13 ---h--w c:\users\All Users\ÝÙÃÄ3113›.sys
2008-09-29 13:43 13 ---h--w c:\progra~2\ÝÙÃÄ3113›.sys
2008-09-29 10:36 --------- d-----w c:\program files\Common Files\Macrovision Shared
2008-09-29 10:36 --------- d-----w c:\program files\Common Files\Adobe
2008-09-29 10:11 --------- d-----w c:\program files\Bonjour
2008-09-25 15:14 --------- d-----w c:\program files\Macromedia
2008-09-25 15:12 --------- d-----w c:\program files\Common Files\Macromedia
2008-09-25 14:19 --------- d-----w c:\program files\Common Files\InstallShield
2008-09-21 22:26 --------- d-----w c:\progra~2\Zylom
2008-09-20 14:35 --------- d-----w c:\progra~2\FLEXnet
2008-09-02 10:27 82,432 ----a-w c:\windows\System32\axaltocm.dll
2008-09-02 10:27 101,888 ----a-w c:\windows\System32\ifxcardm.dll
2008-09-01 11:58 174 --sha-w c:\program files\desktop.ini
2008-08-17 22:49 61,440 ----a-w c:\windows\System32\winipsec.dll
2008-08-17 22:49 361,984 ----a-w c:\windows\System32\IPSECSVC.DLL
2008-08-17 22:49 28,672 ----a-w c:\windows\System32\FwRemoteSvr.dll
2008-08-17 22:49 272,896 ----a-w c:\windows\System32\polstore.dll
2008-08-17 22:47 2,048 ----a-w c:\windows\System32\tzres.dll
2008-08-17 22:43 801,280 ----a-w c:\windows\System32\NaturalLanguage6.dll
2008-08-17 22:43 6,917,120 ----a-w c:\windows\System32\NlsLexicons0c1a.dll
2008-08-17 22:43 4,495,360 ----a-w c:\windows\System32\NlsData0816.dll
2008-08-17 22:43 4,495,360 ----a-w c:\windows\System32\NlsData0416.dll
2008-08-17 22:43 4,495,360 ----a-w c:\windows\System32\NlsData0414.dll
2008-08-17 22:43 1,965,056 ----a-w c:\windows\System32\NlsData0c1a.dll
2008-08-17 22:43 1,965,056 ----a-w c:\windows\System32\NlsData081a.dll
2008-08-17 22:43 1,965,056 ----a-w c:\windows\System32\NlsData000f.dll
2008-08-17 22:41 988,216 ----a-w c:\windows\System32\winload.exe
2008-08-17 22:41 927,288 ----a-w c:\windows\System32\winresume.exe
2008-08-17 22:41 615,992 ----a-w c:\windows\System32\ci.dll
2008-08-17 22:41 6,656 ----a-w c:\windows\System32\kbd106n.dll
2008-08-17 22:41 46,592 ----a-w c:\windows\System32\setbcdlocale.dll
2008-08-17 22:41 40,960 ----a-w c:\windows\System32\srclient.dll
2008-08-17 22:41 378,368 ----a-w c:\windows\System32\srcore.dll
2008-08-17 22:41 318,464 ----a-w c:\windows\System32\rstrui.exe
2008-08-17 22:41 19,000 ----a-w c:\windows\System32\kd1394.dll
2008-08-17 22:41 181,760 ----a-w c:\windows\System32\fsquirt.exe
2008-08-17 22:41 14,848 ----a-w c:\windows\System32\srdelayed.exe
2008-08-17 22:39 541,696 ----a-w c:\windows\AppPatch\AcLayers.dll
2008-08-17 22:39 295,936 ----a-w c:\windows\System32\gdi32.dll
2008-08-17 22:39 2,560 ----a-w c:\windows\AppPatch\AcRes.dll
2008-08-17 22:39 14,848 ----a-w c:\windows\System32\wshrm.dll
2008-08-17 22:39 1,695,744 ----a-w c:\windows\System32\gameux.dll
2008-08-17 22:18 84,480 ----a-w c:\windows\System32\INETRES.dll
2008-08-17 22:18 738,304 ----a-w c:\windows\System32\inetcomm.dll
2008-08-17 22:18 1,314,816 ----a-w c:\windows\System32\quartz.dll
2008-08-12 15:13 1,942,864 ----a-w c:\windows\System32\Skype4COM.dll
2008-03-29 09:02 76 --sha-r c:\windows\CT4CET.bin
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-29 68856]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"Google Update"="c:\users\Butterfly\AppData\Local\Google\Update\GoogleUpdate.exe" [2008-09-08 133104]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-01-18 17920]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2007-09-07 159744]
"OEM02Mon.exe"="c:\windows\OEM02Mon.exe" [2007-08-28 36864]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-06 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-06 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-06 133656]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2008-03-29 77824]
"DELL Webcam Manager"="c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-03-29 1838592]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-02-13 16384]
"PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2007-11-01 189736]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-04 36352]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-11-12 405504]
"dlcgmon.exe"="c:\program files\Dell AIO 810\dlcgmon.exe" [2007-01-12 435696]
"FaxCenterServer"="c:\program files\Dell Fax Solutions\fm3032.exe" [2006-11-04 312200]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"DLCGCATS"="c:\windows\system32\spool\DRIVERS\W32X86\3\DLCGtime.dll" [2006-10-21 73728]
"SearchSettings"="c:\program files\Search Settings\SearchSettings.exe" [2008-06-12 991584]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-03 703280]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-03-29 50688]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2007-09-07 1180952]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GOEC62~1.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3803365911-4285532448-4267708848-1000]
"EnableNotificationsRef"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{9BD1FDBE-91F6-41C0-9499-8A861611CC30}"= c:\program files\Dell\MediaDirect\MediaDirect.exe:Dell MediaDirect
"{6981E36A-CB49-4473-976E-3B921CDC7A22}"= c:\program files\Dell\MediaDirect\PCMService.exe:CyberLink PowerCinema Resident Program
"{1E660102-BB83-4A3D-8884-E0CC3AC31FDE}"= c:\program files\Dell\MediaDirect\Kernel\DMP\CLBrowserEngine.exe:Cyberlink Media Server Browser Engine
"{F10E0D36-C880-41D4-BD39-70D2D8699DDB}"= c:\program files\Dell\MediaDirect\Kernel\DMS\CLMSService.exe:CyberLink Media Server
"{9989956D-1949-4F5C-912F-EAF7D214F947}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{9D969600-F5BE-48D6-9080-FD77EFCF6F0C}"= UDP:c:\program files\Winamp Remote\bin\Orb.exe:Orb
"{888A6A39-F728-48B0-9733-123AC95F9BAA}"= TCP:c:\program files\Winamp Remote\bin\Orb.exe:Orb
"{3E984740-3295-4F20-B1FB-E4CA00DEC235}"= UDP:c:\program files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{0A65DC7A-3511-4CAD-A5B4-8040358EA63B}"= TCP:c:\program files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{ABFAADDC-C228-4F4F-8749-0CEAD40F416F}"= UDP:c:\program files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{2EF125C1-9C92-47D4-BD7C-3BE0B773DFAB}"= TCP:c:\program files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{D6A0D422-FECB-4997-9881-90C8067D588E}"= UDP:c:\program files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{66544FA3-AE5E-4C3D-A532-CAEFECE8B557}"= TCP:c:\program files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{594295D1-55CD-4637-A986-7972EB4B787A}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{6DFCF0F9-9683-44D0-ABBD-12C8761710F2}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{0DF61F72-398F-4284-92B8-21CBFFEC3B65}"= UDP:c:\windows\System32\dlcgcoms.exe:Lexmark Communications System
"{47BD601E-E21E-4121-9F22-66D349F18337}"= TCP:c:\windows\System32\dlcgcoms.exe:Lexmark Communications System
"{6A7A315B-6909-42BB-AFF0-13E6AC463363}"= UDP:c:\windows\System32\spool\drivers\w32x86\3\dlcgpswx.exe:Printer Status Window
"{92940154-3A4D-40AB-9F00-3FE2344AE710}"= TCP:c:\windows\System32\spool\drivers\w32x86\3\dlcgpswx.exe:Printer Status Window
"{E02C227D-3E28-4CBB-88B6-9EA8179B7B9E}"= UDP:c:\program files\Dell AIO 810\dlcgmon.exe:Device Monitor
"{79A16A7A-FCD2-4AE3-9D9E-5B39E2ECE2F7}"= TCP:c:\program files\Dell AIO 810\dlcgmon.exe:Device Monitor
"{62A6C95F-69FA-4209-A032-79F18724A2E7}"= UDP:c:\program files\Dell AIO 810\DLCGaiox.exe:All In One Center
"{CF6826E8-2835-4EC2-8374-D2D7AED1AF36}"= TCP:c:\program files\Dell AIO 810\DLCGaiox.exe:All In One Center
"{5DFDF1C6-1CC3-4F48-B223-F037634F87A4}"= UDP:c:\program files\Abbyy FineReader 6.0 Sprint\Scan\ScanMan6.exe:FineScanManager
"{2D19EC25-4296-4B5E-AFFE-61F5DADB7941}"= TCP:c:\program files\Abbyy FineReader 6.0 Sprint\Scan\ScanMan6.exe:FineScanManager
"TCP Query User{29AD87E0-8FB9-499A-BED6-E698FBA2CEAB}c:\\program files\\freeplayer\\vlc\\vlc.exe"= UDP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player
"UDP Query User{33A2DD35-15A4-4432-8902-A5C4675DD3AC}c:\\program files\\freeplayer\\vlc\\vlc.exe"= TCP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player
"TCP Query User{3F9A56E0-1694-445B-8667-67F4C2CB73A8}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{70A775F8-66FB-486F-A764-A076318A88A7}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"TCP Query User{D8B3DF2E-15DE-44DB-854D-1D3A888ABFB9}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{B0DABF30-A06C-47A4-8020-B418B8C1CBE5}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"TCP Query User{F492DB34-0F21-46C6-9135-6BA06458404F}c:\\program files\\freeplayer\\vlc\\vlc.exe"= UDP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player
"UDP Query User{E7F80932-AA28-46F2-A891-D19B64803ECD}c:\\program files\\freeplayer\\vlc\\vlc.exe"= TCP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player
R1 sK9Ou0s;sK9Ou0s;c:\windows\system32\drivers\srosa2.sys [2008-11-11 7168]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-11-12 73728]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [2008-03-06 111616]
R3 OEM02Dev;Creative Camera OEM002 Driver;c:\windows\system32\DRIVERS\OEM02Dev.sys [2007-08-28 235520]
R3 OEM02Vfx;Creative Camera OEM002 Video VFX Driver;c:\windows\system32\DRIVERS\OEM02Vfx.sys [2007-08-28 7424]
S3 Huawei;HUAWEI Mobile Connect - USB Smart Card Reader;c:\windows\system32\DRIVERS\ewdcsc.sys [2007-08-09 23424]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{032a3854-7379-11dd-9344-001f3b1e4529}]
\shell\AutoRun\command - F:\setup_vmc_lite.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4a9af51-6ea2-11dd-bba8-001f3b1e4529}]
\shell\AutoRun\command - F:\setup_vmc_lite.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4a9af5e-6ea2-11dd-bba8-001f3b1e4529}]
\shell\AutoRun\command - F:\setup_vmc_lite.exe
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-DellSupportCenter - c:\program files\Dell Support Center\bin\sprtcmd.exe
HKLM-Run-DellSupportCenter - c:\program files\Dell Support Center\bin\sprtcmd.exe
.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://google.mini20.com
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
O8 -: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{06413BF1-65B4-4CD8-9554-21BB43D12DB3}: NameServer = 212.27.40.241,212.27.40.240
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-12 14:08:28
Windows 6.0.6001 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\audiodg.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\dlcgcoms.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Dell Support Center\bin\sprtsvc.exe
c:\windows\System32\stacsv.exe
c:\windows\System32\drivers\XAudio.exe
c:\windows\System32\conime.exe
c:\windows\System32\igfxsrvc.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\Windows Media Player\wmpnscfg.exe
c:\program files\DellTPad\ApntEx.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\DellTPad\hidfind.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2008-11-12 14:21:38 - La machine a redémarré [Butterfly]
ComboFix-quarantined-files.txt 2008-11-12 13:21:19
Avant-CF: 49,370,742,784 octets libres
Après-CF: 49,444,769,792 octets libres
263 --- E O F --- 2008-11-07 10:40:07
MA QUESTION : Le virus est-il encore là ? Que dois-je faire d'autre ?
Je vais relancer antivir une troisième fois, histoire de voir ce qu'il me trouve... Je suis free lance donc autant dire que sans ordi ou avec un ordi vérolé, c'est la M...
J'espère que quelqu'un de calé en informatique (ce qui n'est pas mon cas malheureusement) saura m'aider. Merci par avance de vos réponses... :)
A voir également:
- Se débarasser de Bagle (.afu) ?
- Me débarasser de HI5 ✓ - Forum Virus
- Se débarasser de Delphine sur Skyrim ✓ - Forum Jeux PC
- Se debarasser de win32/Uwamson.A!ml ✓ - Forum Virus
- Se debarasser des MAILER-DAEMON ✓ - Forum Windows
- Se débarasser des suggestions Facebook - Forum Facebook
28 réponses
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Fais l'option 1 et poste le rapport.
je ne peux pas te poster le rapport car je n ai tjs pas de net sur mon ordi et j ai peur de veroler celui ci en le mettant sur clé . est ce que ca craint, sinon je pensais formater mon ordi (reinstaller le systeme) mais il faudra que je sauvegarde des fichiers et j ai peur qu ils reinfectent mon ordi apres. t en pense quoi ?
Bonjour,
Désolée de ne pas avoir donné de nouvelles !! J'ai passé pas mal de temps à tout réinstaller et maintenant l'ordi fonctionne sans problème. Merci encore pour ton aide et pardon de ne pas avoir donné de nouvelles mais j'avais tellement de boulot à rattraper que je me suis plongée dedans... et j'ai complètement zappé !!
Encore une fois : MERCI !!
Désolée de ne pas avoir donné de nouvelles !! J'ai passé pas mal de temps à tout réinstaller et maintenant l'ordi fonctionne sans problème. Merci encore pour ton aide et pardon de ne pas avoir donné de nouvelles mais j'avais tellement de boulot à rattraper que je me suis plongée dedans... et j'ai complètement zappé !!
Encore une fois : MERCI !!
