Bagle (suite)

Nimbus -
Utilisateur anonyme - 28 nov. 2008 à 15:38

Bonjour,

C’est un nouveau jour et BAGLE est toujours là.
Hier, aidé par J_O_J_O j’ai vainement essayé de m’en débarrasser.
L’utilisation de FINDYKILL n’a rien donné, ce matin j’ai essayé avec ELIBAGLA, rien non plus.
Que faire ?
Merci.
Rapport ELIBAGLA :

Tue Nov 25 17:28:11 2008
EliBagle v11.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MICHEL SALORD.NIMBUS-B4E501C9\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MICHEL SALORD.NIMBUS-B4E501C9\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Tue Nov 25 17:28:21 2008
EliBagle v11.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MICHEL SALORD.NIMBUS-B4E501C9\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Wed Nov 26 07:30:39 2008
EliBagle v11.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MICHEL SALORD.NIMBUS-B4E501C9\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Wed Nov 26 07:31:05 2008
EliBagle v11.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 2755
Nº Total de Ficheros: 45746
Nº de Ficheros Analizados: 8638
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Nov 26 07:34:45 2008
EliBagle v11.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios: 351
Nº Total de Ficheros: 13877
Nº de Ficheros Analizados: 255
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Nov 26 07:35:02 2008
EliBagle v11.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios: 2640
Nº Total de Ficheros: 14769
Nº de Ficheros Analizados: 2081
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Nov 26 07:40:39 2008
EliBagle v11.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MICHEL SALORD.NIMBUS-B4E501C9\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Wed Nov 26 07:40:45 2008
EliBagle v11.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 2756
Nº Total de Ficheros: 45748
Nº de Ficheros Analizados: 8638
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Nov 26 07:43:49 2008
EliBagle v11.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios: 351
Nº Total de Ficheros: 13877
Nº de Ficheros Analizados: 255
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Nov 26 07:44:08 2008
EliBagle v11.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios: 2640
Nº Total de Ficheros: 14769
Nº de Ficheros Analizados: 2081
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Afficher la suite

15 réponses

Réponse 1 / 15

Utilisateur anonyme

Hi,

Passe ceci:

Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...

Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici : TUTO
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :

Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

Nimbus

Impossible de lancer Combofix.
Message : "Combofix.exe n'est pas une application win32 valide"

Réponse 2 / 15

Utilisateur anonyme

Hi,

Vire ellibagla et refait findykill.

Télécharges- FindyKill de Chiquitine29 :

FindyKill de Chiquitine29

->-Enregistres le sur ton bureau et pas ailleurs !

-!! Déconnectes toi et fermes toute applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

-> Cliques sur "-FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.

-Notes importantes :
* si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .

--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .

-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...

Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

Nimbus

Mon antivirus/Firewall à disparu a l'arrivée de BAGLE.
Voici le rapport FINDYKILL:

----------------- FindyKill V4.705 ------------------

* User : Michel Salord - NIMBUS-B4E501C9
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 17/11/08 par Chiquitine29
* Recherche effectuée à 9:31:19 le 26/11/2008
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

Found ! [26/11/2008 07:44] - C:\InfoSat.txt

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Found ! - C:\WINDOWS\prefetch\101140.EXE-024086C3.pf
Found ! - C:\WINDOWS\prefetch\120890.EXE-2EE3616F.pf
Found ! - C:\WINDOWS\prefetch\122687.EXE-382FE756.pf
Found ! - C:\WINDOWS\prefetch\126812.EXE-1C8CAFDF.pf
Found ! - C:\WINDOWS\prefetch\139437.EXE-2286F6D6.pf
Found ! - C:\WINDOWS\prefetch\157796.EXE-1B18C72E.pf
Found ! - C:\WINDOWS\prefetch\164234.EXE-39372CD8.pf
Found ! - C:\WINDOWS\prefetch\167921.EXE-35A2F045.pf
Found ! - C:\WINDOWS\prefetch\180203.EXE-329EDF9F.pf
Found ! - C:\WINDOWS\prefetch\184343.EXE-294FCFD2.pf
Found ! - C:\WINDOWS\prefetch\190906.EXE-2D0E50BC.pf
Found ! - C:\WINDOWS\prefetch\212484.EXE-2FDB3978.pf
Found ! - C:\WINDOWS\prefetch\219062.EXE-3B120E87.pf
Found ! - C:\WINDOWS\prefetch\249765.EXE-05F4AA95.pf
Found ! - C:\WINDOWS\prefetch\358921.EXE-390256AA.pf
Found ! - C:\WINDOWS\prefetch\56046.EXE-0B8A4AA9.pf
Found ! - C:\WINDOWS\prefetch\71718.EXE-118C8E1E.pf
Found ! - C:\WINDOWS\prefetch\81812.EXE-069C89AB.pf
Found ! - C:\WINDOWS\prefetch\81906.EXE-3909E3F6.pf
Found ! - C:\WINDOWS\prefetch\87625.EXE-39A48902.pf
Found ! - C:\WINDOWS\prefetch\90843.EXE-38A82A4B.pf
Found ! - C:\WINDOWS\prefetch\99609.EXE-1D90FF54.pf
Found ! - C:\WINDOWS\prefetch\FLEC006.EXE-0F68C633.pf
Found ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf
Found ! - C:\WINDOWS\prefetch\WINFILSE.EXE-17C2CF68.pf
Found ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf
Found ! - C:\WINDOWS\Prefetch\SAFEBOOTKEYREPAIR.EXE-20B6E341.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

Found ! [26/11/2008 08:53] - C:\WINDOWS\system32\mdelk.exe
Found ! [26/11/2008 08:53] - C:\WINDOWS\system32\wintems.exe

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

Found ! [26/11/2008 09:19] - C:\WINDOWS\system32\drivers\srosa.sys
Found ! [26/11/2008 09:19] - C:\WINDOWS\system32\drivers\srosa2.sys
Found ! [26/03/2005 10:07] - C:\WINDOWS\system32\drivers\winfilse.exe
Found ! [26/11/2008 09:29] - "C:\WINDOWS\system32\drivers\downld"
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\106453.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\110437.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\120890.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\126812.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\139437.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\153031.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\156500.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\157796.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\158765.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\167921.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\176359.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\182734.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\184343.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\190906.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\202640.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\203562.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\212187.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\212484.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\217625.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\219062.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\219593.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\223515.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\234187.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\240093.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\240734.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\245765.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\254343.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\256906.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\262109.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\263015.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\278359.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\284953.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\292515.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\302093.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\302500.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\304078.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\309156.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\314468.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\324031.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\324953.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\327000.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\335796.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\347468.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\358921.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\360656.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\365593.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\367968.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\391468.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\408281.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\414281.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\440343.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\444218.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\446578.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\476937.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\52437.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\532093.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\56046.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\660328.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\68250.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\75171.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\76250.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\81671.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\81906.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\82437.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\84062.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\88890.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\89687.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\91265.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\91406.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\91671.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\92171.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\95031.exe
Found ! [26/11/2008 09:29] - C:\WINDOWS\system32\drivers\downld\95187.exe

»»»» Presence des fichiers dans C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Application Data

Found ! [26/11/2008 08:53] - "C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Application Data\m\flec006.exe"
Found ! [26/11/2008 08:53] - "C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Application Data\m\list.oct"
Found ! [26/11/2008 08:53] - "C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Application Data\m\data.oct"
Found ! [26/11/2008 08:54] - "C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Application Data\m\srvlist.oct"
Found ! [26/11/2008 09:25] - "C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Application Data\m\shared"
Found ! [26/11/2008 08:02] - "C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Application Data\m"

»»»» Presence des fichiers dans C:\DOCUME~1\MICHEL~1.NIM\LOCALS~1\Temp

»»»» Presence des fichiers dans C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5

Found ! [25/11/2008 13:23] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\B9VYC815\b64_1[1].jpg
Found ! [25/11/2008 15:42] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\B9VYC815\b64_1[2].jpg
Found ! [26/11/2008 08:02] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\B9VYC815\b64_1[3].jpg
Found ! [26/11/2008 08:52] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\B9VYC815\b64_1[4].jpg
Found ! [26/11/2008 08:54] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\B9VYC815\b64_2[1].jpg
Found ! [25/11/2008 09:35] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\B9VYC815\b64_3[1].jpg
Found ! [26/11/2008 08:53] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\BTTUQGP4\b64[1].jpg
Found ! [25/11/2008 15:03] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\BTTUQGP4\b64_1[1].jpg
Found ! [26/11/2008 08:00] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\BTTUQGP4\b64_1[2].jpg
Found ! [25/11/2008 15:05] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\BTTUQGP4\b64_2[1].jpg
Found ! [26/11/2008 08:52] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\BTTUQGP4\b64_2[2].jpg
Found ! [25/11/2008 09:35] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\BTTUQGP4\b64_3[1].jpg
Found ! [25/11/2008 14:33] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\BTTUQGP4\b64_3[2].jpg
Found ! [25/11/2008 14:58] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\BTTUQGP4\b64_3[3].jpg
Found ! [25/11/2008 13:22] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\I0P170AV\b64[1].jpg
Found ! [25/11/2008 15:04] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\I0P170AV\b64[2].jpg
Found ! [26/11/2008 08:01] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\I0P170AV\b64[3].jpg
Found ! [25/11/2008 15:41] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\I0P170AV\b64_1[1].jpg
Found ! [25/11/2008 13:21] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\I0P170AV\b64_2[1].jpg
Found ! [25/11/2008 16:27] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\I0P170AV\b64_2[2].jpg
Found ! [26/11/2008 08:01] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\I0P170AV\b64_2[3].jpg
Found ! [25/11/2008 16:26] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\I0P170AV\b64_3[1].jpg
Found ! [25/11/2008 15:05] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\I0P170AV\mxd[1].jpg
Found ! [25/11/2008 09:35] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\XGTUJZ71\b64[1].jpg
Found ! [25/11/2008 14:58] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\XGTUJZ71\b64_1[1].jpg
Found ! [25/11/2008 15:06] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\XGTUJZ71\b64_1[2].jpg
Found ! [26/11/2008 08:54] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\XGTUJZ71\b64_1[3].jpg
Found ! [25/11/2008 13:22] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\XGTUJZ71\b64_3[1].jpg
Found ! [26/11/2008 08:01] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\XGTUJZ71\b64_3[2].jpg
Found ! [26/11/2008 08:53] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\XGTUJZ71\b64_3[3].jpg
Found ! [25/11/2008 13:22] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\XGTUJZ71\mxd[1].jpg
Found ! [25/11/2008 16:19] - C:\Documents and Settings\Michel Salord.NIMBUS-B4E501C9\Local Settings\Temporary Internet Files\Content.IE5\XGTUJZ71\mxd[2].jpg

--------------- [ Registre / Startup ] ----------------

--------------- [ Registre / Clés infectieuses ] ----------------

Found ! - HKEY_USERS\S-1-5-21-606747145-861567501-725345543-1003\Software\Local AppWizard-Generated Applications\winfilse
Found ! - HKEY_USERS\S-1-5-21-606747145-861567501-725345543-1003\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-606747145-861567501-725345543-1003\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-606747145-861567501-725345543-1003\Software\FFC
Found ! - HKEY_USERS\S-1-5-21-606747145-861567501-725345543-1003\Software\FirtR
Found ! - HKEY_USERS\S-1-5-21-606747145-861567501-725345543-1003\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - HKEY_CURRENT_USER\Software\FirtR

--------------- [ Etat / Services ] ----------------

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

- sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

- sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

- sans echec non fonctionnel !!

+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Lecteur fixe

D: - Lecteur fixe

E: - Lecteur fixe

+- presence des fichiers :

--------------- [ Registre / Mountpoint2 ] ----------------

-> Not found !

------------------- ! Fin du rapport ! --------------------

Réponse 3 / 15

Utilisateur anonyme

Salut Dr....Nimbus....essaie en mose sabs echec !

Réponse 4 / 15

Utilisateur anonyme

Hi,

Ce rapport de FindyKill est complet. L'infection Bagle s'attrape dans les cracks et keygens donc si tu en as, il faut les supprimer sinon l'infection se relancera.

--> Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir

--> Double-clique sur le raccourci FindyKill sur ton bureau

--> Au menu principal, choisis l'option 2 (Suppression)

/!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

--> Ensuite, poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

Passe ensuite combofix.

Alut.

Nimbus

FINDYKILL ne génère npas de rapport.
COMBOFIX ne peut pas être installé.

Que faire ?

Nimbus

J'ai supprimé ce qui me semblait à risque et relancer une fois de plus FINDYKILL.
Après la recherche, le rapport est bien affiché, je lance l'option 2 nettoyage, plusieurs lignes défiles rapidement et plus rien. Pas de redémarrage ni de rapport !
Que faut il en déduire ?
Merci.

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 15

Utilisateur anonyme

Hi,

Relance l'option 2.

et le rapport ce trouve :sauvegardé à la racine du disque.

Alut.

Nimbus

Toujours pas de redémarrage ni de rapport à la racine !

Réponse 6 / 15

Utilisateur anonyme

Hi,

Mais il est pas obliger d'avoir un redémarrage.

As tu virer tes cracks?

Si non ben c normal.

Relance le et poste le rapport.

Alut.

PS:au pire fait en mode sans échec.

Réponse 7 / 15

Utilisateur anonyme

excusez l intrusion....

tu veux bien nous envoyer un rapport hijackthis s il te plait ?

Réponse 8 / 15

Utilisateur anonyme

Hi,

Gene hackman laisse moi faire occupe toi de t'es topics et laisse ceux des autres tranquille.

merci.

Alut.

Réponse 9 / 15

Utilisateur anonyme

ok excuses....

Réponse 10 / 15

Utilisateur anonyme

Hi,

Suit l'affaire tu le sais ,mais n'intervient que si je fait ou oublie un truc.

merci.

Le daltonien.

Alut.

Nimbus

Je suis de retour,
Je n'ai plus accès a sans échec ni à la restauration, pas de résultat avec Findykill.
peut on localiser l'emplacement de bagle ?
Merci

Nimbus

Je viens de faire une recherche avec MALWAREBYTES qui a trouver plein de choses dont ceci "C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle)".
J'ai demandé la suppression mais au redémarrage rien n'a changer.
J'ai lancé une recherche sur "srosa.sys", rien trouvé !
Que peut on faire ?
Merci.

Réponse 11 / 15

Utilisateur anonyme

...

Réponse 12 / 15

Utilisateur anonyme

Hi,

Passe combofix en mode sans échec.

Alut

Nimbus

Bonjour,

Voici le rapport COMBO:

ComboFix 08-11-27.01 - Michel Salord 2008-11-27 17:41:48.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.625 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel Salord.NIMBUS-B4E501C9\Bureau\ComboFix.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Michel Salord.NIMBUS-B4E501C9\Application Data\inst.exe
C:\InfoSat.txt
c:\windows\system32\cdabdedaaf2_d.dll
c:\windows\system32\drivers\srosa2.sys
c:\windows\system32\mpg4c32.dll
c:\windows\system32\msssc.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SROSA

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-27 au 2008-11-27 ))))))))))))))))))))))))))))))))))))
.

2008-11-27 16:47 . 2008-11-27 16:47 <REP> d-------- c:\program files\Defenza
2008-11-27 16:47 . 1996-08-20 20:37 15,840 --a------ c:\windows\system32\Machnm1.exe
2008-11-27 16:47 . 2005-09-25 16:37 5,632 --a------ c:\windows\system32\Machnm64.sys
2008-11-27 16:47 . 2008-11-27 16:47 3,120 --a------ c:\windows\system32\118290.54
2008-11-27 16:47 . 2008-11-27 16:47 3,120 --a------ c:\windows\118294.78
2008-11-27 16:47 . 2003-08-13 00:27 2,304 --a------ c:\windows\system32\Machnm32.sys
2008-11-27 16:27 . 2008-11-27 16:27 102,664 --a------ c:\windows\system32\drivers\tmcomm.sys
2008-11-27 16:26 . 2008-11-27 16:26 <REP> d-------- c:\windows\Sun
2008-11-27 16:26 . 2008-11-27 16:28 <REP> d-------- c:\documents and settings\Michel Salord.NIMBUS-B4E501C9\.housecall6.6
2008-11-27 16:26 . 2005-04-13 03:48 49,265 --a------ c:\windows\system32\jpicpl32.cpl
2008-11-27 16:25 . 2008-11-27 16:26 <REP> d-------- c:\program files\Java
2008-11-27 16:25 . 2008-11-27 16:25 <REP> d-------- c:\program files\Fichiers communs\Java
2008-11-27 14:18 . 2008-11-27 14:45 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-11-27 14:07 . 2008-04-14 03:33 116,736 --a--c--- c:\windows\system32\dllcache\xrxwiadr.dll
2008-11-27 14:07 . 2001-08-23 17:47 99,865 --a--c--- c:\windows\system32\dllcache\xlog.exe
2008-11-27 14:07 . 2001-08-23 17:47 27,648 --a--c--- c:\windows\system32\dllcache\xrxftplt.exe
2008-11-27 14:07 . 2001-08-23 17:47 23,040 --a--c--- c:\windows\system32\dllcache\xrxwbtmp.dll
2008-11-27 14:07 . 2004-08-03 22:29 19,455 --a--c--- c:\windows\system32\dllcache\wvchntxx.sys
2008-11-27 14:07 . 2008-04-13 19:46 19,200 --a--c--- c:\windows\system32\dllcache\wstcodec.sys
2008-11-27 14:07 . 2008-04-14 03:33 18,944 --a--c--- c:\windows\system32\dllcache\xrxscnui.dll
2008-11-27 14:07 . 2001-08-17 20:11 16,970 --a--c--- c:\windows\system32\dllcache\xem336n5.sys
2008-11-27 14:07 . 2004-08-03 22:29 12,063 --a--c--- c:\windows\system32\dllcache\wsiintxx.sys
2008-11-27 14:07 . 2008-04-14 03:33 8,192 --a--c--- c:\windows\system32\dllcache\wshirda.dll
2008-11-27 14:07 . 2001-08-23 17:47 4,608 --a--c--- c:\windows\system32\dllcache\xrxflnch.exe
2008-11-27 14:05 . 2001-08-17 21:28 765,884 --a--c--- c:\windows\system32\dllcache\usrti.sys
2008-11-27 14:04 . 2001-08-17 21:28 794,654 --a--c--- c:\windows\system32\dllcache\usr1801.sys
2008-11-27 14:03 . 2001-08-23 17:47 525,568 --a--c--- c:\windows\system32\dllcache\tridxp.dll
2008-11-27 14:03 . 2001-08-23 17:46 440,576 --a--c--- c:\windows\system32\dllcache\tridkb.dll
2008-11-27 14:03 . 2001-08-17 20:51 222,336 --a--c--- c:\windows\system32\dllcache\trid3dm.sys
2008-11-27 14:03 . 2001-08-23 17:47 216,576 --a--c--- c:\windows\system32\dllcache\um34scan.dll
2008-11-27 14:03 . 2001-08-23 17:47 212,480 --a--c--- c:\windows\system32\dllcache\um54scan.dll
2008-11-27 14:03 . 2001-08-17 20:51 166,784 --a--c--- c:\windows\system32\dllcache\tridxpm.sys
2008-11-27 14:03 . 2001-08-17 20:51 159,232 --a--c--- c:\windows\system32\dllcache\tridkbm.sys
2008-11-27 14:03 . 2001-08-23 17:47 50,688 --a--c--- c:\windows\system32\dllcache\umaxscan.dll
2008-11-27 14:03 . 2001-08-23 17:47 50,688 --a--c--- c:\windows\system32\dllcache\umaxp60.dll
2008-11-27 14:03 . 2001-08-23 17:47 47,616 --a--c--- c:\windows\system32\dllcache\umaxcam.dll
2008-11-27 14:03 . 2001-08-17 21:52 36,736 --a--c--- c:\windows\system32\dllcache\ultra.sys
2008-11-27 14:03 . 2001-08-17 21:58 22,912 --a--c--- c:\windows\system32\dllcache\umaxpcls.sys
2008-11-27 14:03 . 2001-08-17 21:48 11,520 --a--c--- c:\windows\system32\dllcache\twotrack.sys
2008-11-27 14:01 . 2001-08-23 17:46 172,768 --a--c--- c:\windows\system32\dllcache\t2r4disp.dll
2008-11-27 14:00 . 2001-08-23 16:57 286,848 --a--c--- c:\windows\system32\dllcache\stlnata.sys
2008-11-27 14:00 . 2001-08-23 17:47 155,648 --a--c--- c:\windows\system32\dllcache\stlnprop.dll
2008-11-27 14:00 . 2001-08-23 17:47 106,584 --a--c--- c:\windows\system32\dllcache\spdports.dll
2008-11-27 14:00 . 2001-08-23 17:47 99,840 --a--c--- c:\windows\system32\dllcache\srusd.dll
2008-11-27 14:00 . 2001-08-17 21:51 61,824 --a--c--- c:\windows\system32\dllcache\speed.sys
2008-11-27 14:00 . 2001-08-23 17:47 53,760 --a--c--- c:\windows\system32\dllcache\sw_wheel.dll
2008-11-27 14:00 . 2001-08-23 17:47 53,248 --a--c--- c:\windows\system32\dllcache\stlncoin.dll
2008-11-27 14:00 . 2001-08-17 20:11 48,736 --a--c--- c:\windows\system32\dllcache\srwlnd5.sys
2008-11-27 14:00 . 2001-08-23 17:47 41,472 --a--c--- c:\windows\system32\dllcache\sw_effct.dll
2008-11-27 14:00 . 2001-08-23 17:47 24,660 --a--c--- c:\windows\system32\dllcache\spxupchk.dll
2008-11-27 14:00 . 2001-08-23 16:57 17,024 --a--c--- c:\windows\system32\dllcache\stcusb.sys
2008-11-27 14:00 . 2008-04-13 19:46 15,232 --a--c--- c:\windows\system32\dllcache\streamip.sys
2008-11-27 14:00 . 2001-08-23 17:47 10,240 --a--c--- c:\windows\system32\dllcache\swpdflt2.dll
2008-11-27 13:58 . 2001-08-23 17:47 238,592 --a--c--- c:\windows\system32\dllcache\sisgrv.dll
2008-11-27 13:57 . 2001-08-23 17:46 386,560 --a--c--- c:\windows\system32\dllcache\sgiul50.dll
2008-11-27 13:57 . 2001-08-23 17:46 252,032 --a--c--- c:\windows\system32\dllcache\sis300iv.dll
2008-11-27 13:57 . 2001-08-23 17:21 161,664 --a--c--- c:\windows\system32\dllcache\sgsmusb.sys
2008-11-27 13:57 . 2001-08-17 20:50 101,760 --a--c--- c:\windows\system32\dllcache\sis300ip.sys
2008-11-27 13:57 . 2001-08-17 20:51 98,080 --a--c--- c:\windows\system32\dllcache\sgiulnt5.sys
2008-11-27 13:57 . 2001-08-17 20:50 68,608 --a--c--- c:\windows\system32\dllcache\sis6306p.sys
2008-11-27 13:57 . 2001-08-17 20:19 36,480 --a--c--- c:\windows\system32\dllcache\sfmanm.sys
2008-11-27 13:57 . 2001-08-23 17:20 18,432 --a--c--- c:\windows\system32\dllcache\sermouse.sys
2008-11-27 13:57 . 2001-07-21 22:29 18,400 --a--c--- c:\windows\system32\dllcache\sgsmld.sys
2008-11-27 13:57 . 2001-08-17 21:52 11,648 --a--c--- c:\windows\system32\dllcache\scsiprnt.sys
2008-11-27 13:57 . 2008-04-13 19:45 11,520 --a--c--- c:\windows\system32\dllcache\scsiscan.sys
2008-11-27 13:57 . 2001-08-23 17:20 6,912 --a--c--- c:\windows\system32\dllcache\serscan.sys
2008-11-27 13:57 . 2001-08-17 21:53 6,912 --a--c--- c:\windows\system32\dllcache\seaddsmc.sys
2008-11-27 13:55 . 2001-08-17 20:50 166,720 --a--c--- c:\windows\system32\dllcache\s3m.sys
2008-11-27 13:54 . 2001-08-23 17:18 899,914 --a--c--- c:\windows\system32\dllcache\r2mdkxga.sys
2008-11-27 13:53 . 2008-04-14 03:33 363,520 --a--c--- c:\windows\system32\dllcache\psisdecd.dll
2008-11-27 13:52 . 2008-04-14 03:32 211,584 --a--c--- c:\windows\system32\dllcache\perm2dll.dll
2008-11-27 13:51 . 2001-08-17 22:05 351,616 --a--c--- c:\windows\system32\dllcache\ovcodek2.sys
2008-11-27 13:50 . 2004-08-04 00:47 132,695 --a--c--- c:\windows\system32\dllcache\netwlan5.sys
2008-11-27 13:49 . 2001-08-23 17:09 131,072 --a--c--- c:\windows\system32\dllcache\n100325.sys
2008-11-27 13:48 . 2001-08-23 17:03 320,384 --a--c--- c:\windows\system32\dllcache\mgaum.sys
2008-11-27 13:48 . 2001-08-23 17:46 235,648 --a--c--- c:\windows\system32\dllcache\mgaud.dll
2008-11-27 13:48 . 2008-04-14 03:34 56,832 --a--c--- c:\windows\system32\dllcache\msdvbnp.ax
2008-11-27 13:48 . 2008-04-13 19:46 51,200 --a--c--- c:\windows\system32\dllcache\msdv.sys
2008-11-27 13:48 . 2001-08-17 22:02 35,200 --a--c--- c:\windows\system32\dllcache\msgame.sys
2008-11-27 13:48 . 2008-04-13 19:41 26,112 --a--c--- c:\windows\system32\dllcache\memstpci.sys
2008-11-27 13:48 . 2008-04-13 19:54 22,016 --a--c--- c:\windows\system32\dllcache\msircomm.sys
2008-11-27 13:48 . 2001-08-17 21:52 17,280 --a--c--- c:\windows\system32\dllcache\mraid35x.sys
2008-11-27 13:48 . 2001-08-17 21:57 16,128 --a--c--- c:\windows\system32\dllcache\modemcsa.sys
2008-11-27 13:48 . 2008-04-13 19:46 15,232 --a--c--- c:\windows\system32\dllcache\mpe.sys
2008-11-27 13:48 . 2001-08-17 21:52 6,528 --a--c--- c:\windows\system32\dllcache\miniqic.sys
2008-11-27 13:48 . 2001-08-17 21:48 6,016 --a--c--- c:\windows\system32\dllcache\msfsio.sys
2008-11-27 13:48 . 2001-08-17 22:00 2,944 --a--c--- c:\windows\system32\dllcache\msmpu401.sys
2008-11-27 13:46 . 2008-04-14 03:33 254,464 --a--c--- c:\windows\system32\dllcache\kdsusd.dll
2008-11-27 13:45 . 2008-04-14 03:34 153,088 --a--c--- c:\windows\system32\dllcache\irftp.exe
2008-11-27 13:20 . 2008-11-27 13:20 <REP> d-------- c:\program files\Panda Security
2008-11-27 13:20 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2008-11-27 10:23 . 2001-08-23 17:47 372,824 --a--c--- c:\windows\system32\dllcache\iconf32.dll
2008-11-27 10:23 . 2001-08-17 22:06 154,496 --a--c--- c:\windows\system32\dllcache\icam4usb.sys
2008-11-27 10:23 . 2001-08-17 22:05 141,056 --a--c--- c:\windows\system32\dllcache\icam3.sys
2008-11-27 10:23 . 2001-08-17 20:12 109,085 --a--c--- c:\windows\system32\dllcache\ibmtrp.sys
2008-11-27 10:23 . 2001-08-17 22:06 100,992 --a--c--- c:\windows\system32\dllcache\icam5usb.sys
2008-11-27 10:23 . 2001-08-17 20:12 100,936 --a--c--- c:\windows\system32\dllcache\ibmtok.sys
2008-11-27 10:23 . 2001-08-23 17:47 92,160 --a--c--- c:\windows\system32\dllcache\icam4com.dll
2008-11-27 10:23 . 2001-08-23 17:47 63,488 --a--c--- c:\windows\system32\dllcache\icam4ext.dll
2008-11-27 10:23 . 2001-08-23 17:47 45,056 --a--c--- c:\windows\system32\dllcache\icam5com.dll
2008-11-27 10:23 . 2001-08-17 22:06 38,528 --a--c--- c:\windows\system32\dllcache\ibmvcap.sys
2008-11-27 10:23 . 2001-08-23 17:47 27,136 --a--c--- c:\windows\system32\dllcache\icam3ext.dll
2008-11-27 10:23 . 2001-08-23 17:47 20,992 --a--c--- c:\windows\system32\dllcache\icam5ext.dll
2008-11-27 10:21 . 2001-08-23 17:47 324,608 --a--c--- c:\windows\system32\dllcache\hpojwia.dll
2008-11-27 10:20 . 2001-08-23 17:46 1,733,120 --a--c--- c:\windows\system32\dllcache\g400d.dll
2008-11-27 10:19 . 2001-08-17 20:15 455,680 --a--c--- c:\windows\system32\dllcache\fus2base.sys
2008-11-27 10:18 . 2001-08-23 17:16 630,016 --a--c--- c:\windows\system32\dllcache\eqn.sys
2008-11-27 10:17 . 2001-08-23 17:13 634,166 --a--c--- c:\windows\system32\dllcache\el656ct5.sys
2008-11-27 10:16 . 2001-08-17 20:14 952,007 --a--c--- c:\windows\system32\dllcache\diwan.sys
2008-11-27 10:15 . 2008-04-14 03:33 252,416 --a--c--- c:\windows\system32\dllcache\ctmasetp.dll
2008-11-27 10:14 . 2001-08-23 17:04 980,034 --a--c--- c:\windows\system32\dllcache\cicap.sys
2008-11-27 10:11 . 2001-08-17 21:12 60,416 --a--c--- c:\windows\system32\dllcache\brserwdm.sys
2008-11-27 10:11 . 2001-08-23 17:46 41,472 --a--c--- c:\windows\system32\dllcache\brmfusb.dll
2008-11-27 10:11 . 2001-08-23 17:01 39,808 --a--c--- c:\windows\system32\dllcache\brparwdm.sys
2008-11-27 10:11 . 2001-08-23 17:47 32,256 --a--c--- c:\windows\system32\dllcache\brmfrsmg.exe
2008-11-27 10:11 . 2001-08-17 20:11 31,529 --a--c--- c:\windows\system32\dllcache\brzwlan.sys
2008-11-27 10:11 . 2001-08-23 17:46 29,696 --a--c--- c:\windows\system32\dllcache\brmflpt.dll
2008-11-27 10:11 . 2001-08-23 17:02 14,080 --a--c--- c:\windows\system32\dllcache\bulltlp3.sys
2008-11-27 10:11 . 2001-08-17 21:12 11,008 --a--c--- c:\windows\system32\dllcache\brusbmdm.sys
2008-11-27 10:11 . 2001-08-17 21:12 10,368 --a--c--- c:\windows\system32\dllcache\brusbscn.sys
2008-11-27 10:11 . 2001-08-23 17:46 9,728 --a--c--- c:\windows\system32\dllcache\brserif.dll
2008-11-27 10:11 . 2001-08-23 17:46 5,120 --a--c--- c:\windows\system32\dllcache\brscnrsm.dll
2008-11-27 10:11 . 2001-08-17 21:12 3,168 --a--c--- c:\windows\system32\dllcache\brparimg.sys
2008-11-27 10:09 . 2001-08-17 21:28 762,780 --a--c--- c:\windows\system32\dllcache\3cwmcru.sys
2008-11-27 10:08 . 2001-08-23 17:46 66,048 --a--c--- c:\windows\system32\dllcache\s3legacy.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-04 12:38 --------- d-----w c:\program files\Securitoo
2008-11-04 12:28 --------- d-----w c:\program files\microsoft frontpage
2008-11-04 12:26 --------- d-----w c:\program files\Services en ligne
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:15 1,307,648 ------w c:\windows\system32\msxml6.dll
2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0e6d7a5d-b560-4d1c-9713-18dd1ade6011}"= "c:\program files\My-Tool\tbMy-T.dll" [2008-06-24 1568792]

[HKEY_CLASSES_ROOT\clsid\{0e6d7a5d-b560-4d1c-9713-18dd1ade6011}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0e6d7a5d-b560-4d1c-9713-18dd1ade6011}]
2008-06-24 02:30 1568792 --a------ c:\program files\My-Tool\tbMy-T.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{0e6d7a5d-b560-4d1c-9713-18dd1ade6011}"= "c:\program files\My-Tool\tbMy-T.dll" [2008-06-24 1568792]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{0E6D7A5D-B560-4D1C-9713-18DD1ADE6011}"= "c:\program files\My-Tool\tbMy-T.dll" [2008-06-24 1568792]

[HKEY_CLASSES_ROOT\clsid\{0e6d7a5d-b560-4d1c-9713-18dd1ade6011}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Gestionnaire Antidote.exe"="e:\program files\Druide\Antidote\Gestionnaire Antidote.exe" [2008-06-03 536576]
"SpybotSD TeaTimer"="e:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"F-Secure Manager"="c:\program files\Securitoo\av_fw\Common\FSM32.EXE" [2007-06-13 176177]
"F-Secure TNB"="c:\program files\Securitoo\av_fw\FSGUI\TNBUtil.exe" [2007-06-13 733184]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 36975]
"PCDAS"="c:\program files\Defenza\pcd-as.exe" [2006-12-15 1359872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.X264"= x264vfw.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^Mémento.lnk]
path=c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\Mémento.lnk
backup=c:\windows\pss\Mémento.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gestionnaire Antidote.exe]
--a------ 2008-06-03 20:13 536576 e:\program files\Druide\Antidote\Gestionnaire Antidote.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2005-04-12 11:15 1383936 e:\program files\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Piratrax]
--a------ 2008-11-07 09:01 776192 e:\program files\Piratrax\piratrax_launch.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2008-11-27 51104]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-11-27 28544]
R1 F-Secure HIPS;F-Secure HIPS;\??\c:\program files\Securitoo\av_fw\HIPS\fshs.sys [2008-11-27 41152]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;\??\c:\program files\Securitoo\av_fw\Anti-Virus\minifilter\fsgk.sys [2008-11-27 52736]
S4 F-Secure Filter;F-Secure File System Filter;\??\c:\program files\Securitoo\av_fw\Anti-Virus\Win2K\FSfilter.sys [2008-11-27 33024]
S4 F-Secure Recognizer;F-Secure File System Recognizer;\??\c:\program files\Securitoo\av_fw\Anti-Virus\Win2K\FSrec.sys [2008-11-27 18432]
.
Contenu du dossier 'Tâches planifiées'

2008-11-19 c:\windows\Tasks\Uniblue SpyEraser.job
- e:\program files\Uniblue\SpyEraser\SpyEraser.exe []
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-sglfb.sys
SafeBoot-tga.sys
SafeBoot-wd.sys
SafeBoot-sacsvr
MSConfigStartUp-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-27 17:45:09
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
e:\program files\Ahead\InCD\InCDsrv.exe
c:\program files\Bonjour\mDNSResponder.exe
e:\program files\Diskeeper Corporation\Diskeeper\DkService.exe
c:\program files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
c:\program files\Securitoo\av_fw\Anti-Virus\fsgk32.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\Securitoo\av_fw\Anti-Virus\fssm32.exe
.
**************************************************************************
.
Heure de fin: 2008-11-27 17:46:59 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-27 16:46:50

Avant-CF: 29 715 832 832 octets libres
Après-CF: 28,959,727,616 octets libres

252

Réponse 13 / 15

Utilisateur anonyme

e:\program files............?????????????

Réponse 14 / 15

Utilisateur anonyme

Hi,

Fait ceci maintenant:Legacy_SROSA

1. Fermez tous les navigateurs ouverts.

2. Fermez/désactivez tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

3. Ouvrez le Bloc-notes et faites un copier/coller du texte en gras situé dans la boîte Citation ci-dessous dans le Bloc-notes:

Driver::

srosa2

Enregistrez le fichier sous le nom CFScript.txt, au même endroit que ComboFix.exe

http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif

Comme sur l'image ci-dessus, faites glisser CFScript puis déposez-le sur ComboFix.exe

Lorsque l'outil aura terminé, il vous affichera un rapport nommé C:\ComboFix.txt que vous devez m'envoyer dans votre prochain message.

Nimbus

Bonjour,
Pensant être débarrassé de BAGLE, et ayant un autre souci (message « xxx.exe n’est pas une application Win32 valide ») j’ai cru bon de passer sur le forum WINDOWS.
Erreur signalée par « anthony5151 » qui, avec mon accord, a pris mon problème en main et l’a résolu en suivant votre démarche.
Enfin tout ça pour dire que j’ai merdé et que je vous dois des excuses pour cette impolitesse.
Je vous remercie tous pour l’aide que vous m’avez apportée.

Nimbus.

Réponse 15 / 15

Utilisateur anonyme

Hi,

Ben merci pour l'avoir signaler.

Alut.

Bagle (suite)

15 réponses

Votre réponse

Newsletters