Infecté par winupgro

nicplet -  
 tcallahan -
Bonjour,

après avoir fait une chose interdite (crack.....), mon PC se trouve infecté par winupgro (Bagle) et je ne sais pas comment le nettoyer. Mon PC présente les symptômes classiques, à savoir impossibilité d'utiliser mes antivirus et autres cleaners. De plus, ma carte Wifi semble désactivé. J'ai donc dû me connecter en filaire pour accéder au net.

Qui peut m'aider?

Merci d'avance.

Nicplet
Configuration: Windows XP
Firefox 3.0.4

31 réponses

  • 1
  • 2
  1. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    pourquoi une procédure aussi compliquée,

    Tu n'as encore rien vu...
    Bien souvent, ça dépasse les 100 messages...

    n'existe-t-il pas d'antivirus pouvant nettoyer cette crasse?

    Si.
    Ne pas utiliser le P2P.

    eMule
    uTorrent


    En attendant que j'epluche le rapport, voici un peu de lecture:
    Attention avec les downloads et/ou cracks et keygens...

    Les risques du Peer to peer ( P2P )
    http://www.libellules.ch/...
    1
  2. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Salut !

    Bagle est une infection qu'on attrape en téléchargeant des cracks sur peer to peer.
    Il supprime les antivirus, firewall, empèche le redémarrage en mode sans échec... et ralentit considérablement l'ordinateur.

    S'il y a bien une infection que l'on attrape stupidement, c'est celle-ci.

    Télécharge FindyKill (par Chiquitine29) sur ton bureau :
    http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

    Ø Lance l'installation avec les paramètres par defaut

    Ø Double-clique sur le raccourci FindyKill sur ton bureau

    Ø Au menu principal, choisis l'option * 1 * (Recherche)

    Ø Poste le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
    0
  3. nicplet Messages postés 19 Statut Membre
     
    Merci pour ta réponse très rapide. Je vais donc suivre les étapes que tu vas m'indiquer. Petites questions: pourquoi les scans en ligne ne suffisent-ils pas pour ce genre de virus? Et pourquoi Avira n'a-t-il pas bloqué le virus?

    Voici donc le fichier:

    ----------------- FindyKill V4.709 ------------------

    * User : Nico - NICOLAS
    * Emplacement : C:\Program Files\FindyKill
    * Outils Mis a jours le 10/12/08 par Chiquitine29
    * Recherche effectuée à 22:16:24 le mer. 17/12/2008
    * Windows XP - Internet Explorer 6.0.2900.5512

    ((((((((((((((((( *** Recherche *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
    C:\WINDOWS\system32\oodag.exe
    C:\WINDOWS\system32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\System32\alg.exe
    C:\Documents and Settings\Nico\Bureau\ELIBAGLA.BEABB%D8%D8H.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Presence des fichiers dans C:

    Found ! [17/12/2008 22:11] - C:\InfoSat.txt

    »»»» Presence des fichiers dans C:\WINDOWS

    »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

    Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-2E56457A.pf
    Found ! - C:\WINDOWS\Prefetch\CRAC.EXE-1468C6DA.pf
    Found ! - C:\WINDOWS\Prefetch\CRAC.EXE-1FF8B7FB.pf
    Found ! - C:\WINDOWS\Prefetch\CRAC.EXE-2CF7B821.pf
    Found ! - C:\WINDOWS\Prefetch\TT7_KEYGEN.EXE-01A1FCF6.pf
    Found ! - C:\WINDOWS\Prefetch\TT7_KEYGEN.EXE-3640F3C6.pf
    Found ! - C:\WINDOWS\Prefetch\TT7_KEYGEN.EXE-01A1FCF6.pf
    Found ! - C:\WINDOWS\Prefetch\TT7_KEYGEN.EXE-3640F3C6.pf
    Found ! - C:\WINDOWS\Prefetch\PATCHER.EXE-1C0DE4EC.pf

    »»»» Presence des fichiers dans C:\WINDOWS\system32

    »»»» Presence des fichiers dans C:\WINDOWS\system32\config\systemprofile\AppData\Roaming

    »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

    »»»» Presence des fichiers dans C:\Documents and Settings\Nico\Application Data

    Found ! [17/12/2008 21:40] - "C:\Documents and Settings\Nico\Application Data\drivers"
    Found ! [17/12/2008 06:47] - "C:\Documents and Settings\Nico\Application Data\drivers\srosa2.sys"
    Found ! [16/12/2008 20:38] - "C:\Documents and Settings\Nico\Application Data\drivers\downld"
    Found ! [16/12/2008 20:38] - C:\Documents and Settings\Nico\Application Data\drivers\downld\2785031.exe
    Found ! [16/12/2008 20:38] - C:\Documents and Settings\Nico\Application Data\drivers\downld\2787656.exe
    Found ! [16/12/2008 20:38] - C:\Documents and Settings\Nico\Application Data\drivers\downld\2787671.exe

    »»»» Presence des fichiers dans C:\DOCUME~1\Nico\LOCALS~1\Temp

    »»»» Presence des fichiers dans C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5

    Found ! [29/11/2006 14:47] - C:\Documents and Settings\All Users.WINDOWS\Application Data\Skype\Plugins\Local Cache\7B5560BB781B40259A06350E9B643B6E_more.jpg
    Found ! [22/02/2006 17:17] - C:\Documents and Settings\Nathalie2\Mes documents\Ma musique\Toni Braxton\I Don't Want To\AlbumArt_{E66A09B6-9CD3-49B9-A412-CB643F596D19}_Large.jpg
    Found ! [22/02/2006 17:17] - C:\Documents and Settings\Nathalie2\Mes documents\Ma musique\Toni Braxton\I Don't Want To\AlbumArt_{E66A09B6-9CD3-49B9-A412-CB643F596D19}_Small.jpg
    Found ! [17/12/2008 19:49] - C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5\GHI1K3MN\6E4F71F416805B644123FFDD76A5[1].jpg

    --------------- [ Registre / Startup ] ----------------

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\not active=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
    Installed=1
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
    Installed=1
    NoChange=1
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
    Installed=1

    [HKEY_CURRENT_USER\software\local appwizard-generated applications\CameraWindow]
    [HKEY_CURRENT_USER\software\local appwizard-generated applications\crac]
    [HKEY_CURRENT_USER\software\local appwizard-generated applications\gnotify]
    [HKEY_CURRENT_USER\software\local appwizard-generated applications\MMDiag]
    [HKEY_CURRENT_USER\software\local appwizard-generated applications\Viewer]
    [HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

    --------------- [ Registre / Clés infectieuses ] ----------------

    Found ! - HKEY_USERS\S-1-5-21-1078081533-746137067-839522115-1006\Software\Local AppWizard-Generated Applications\winupgro
    Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s

    --------------- [ Etat / Services ] ----------------

    +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

    /!\ Ndisuio - Type de démarrage = 4

    EapHost - Type de démarrage = 3

    /!\ Ip6Fw - Type de démarrage = 4

    SharedAccess - Type de démarrage = 2

    wuauserv - Type de démarrage = 2

    /!\ wscsvc - Type de démarrage = 4

    --------------- [ Recherche dans supports amovibles] ----------------

    +- Informations :

    C: - Lecteur fixe

    +- presence des fichiers :

    --------------- [ Registre / Mountpoint2 ] ----------------

    -> Not found !

    ------------------- ! Fin du rapport ! --------------------
    0
  4. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Relance findykill,

    Ø Choisis cette fois ci l'option * 2 * (suppression)

    il y aura 2 redémarrages, laisse travailler l'outil jusqu'a l'apparition du message "nettoyage effectué"

    un rapport va s'ouvrir, poste le dans ta prochaine réponse stp

    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. nicplet Messages postés 19 Statut Membre
     
    Voici:

    ----------------- FindyKill V4.709 ------------------

    * User : Nico - NICOLAS
    * executed from : C:\Program Files\FindyKill
    * Update on 10/12/08 par Chiquitine29
    * Start at 6:40:32 the jeu. 18/12/2008
    * Windows XP - Internet Explorer 6.0.2900.5512

    ((((((((((((((( *** deleting *** ))))))))))))))))))

    --------------- [ Active Processes ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\system32\ati2sgag.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
    C:\WINDOWS\system32\oodag.exe
    C:\WINDOWS\system32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe

    --------------- [ Infected files / folders ] ----------------

    »»»» Supression files in C:

    Deleted ! - C:\InfoSat.txt

    »»»» Supression files in C:\WINDOWS

    »»»» Supression files in C:\WINDOWS\Prefetch

    Deleted ! - C:\WINDOWS\prefetch\CRAC.EXE-1468C6DA.pf
    Deleted ! - C:\WINDOWS\prefetch\CRAC.EXE-1FF8B7FB.pf
    Deleted ! - C:\WINDOWS\prefetch\CRAC.EXE-2CF7B821.pf
    Deleted ! - C:\WINDOWS\prefetch\PATCHER.EXE-1C0DE4EC.pf
    Deleted ! - C:\WINDOWS\prefetch\TT7_KEYGEN.EXE-01A1FCF6.pf
    Deleted ! - C:\WINDOWS\prefetch\TT7_KEYGEN.EXE-3640F3C6.pf
    Deleted ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-2E56457A.pf

    »»»» Supression files in C:\WINDOWS\system32

    »»»» Supression files in C:\WINDOWS\system32\config\systemprofile\AppData\Roaming

    »»»» Supression files in C:\WINDOWS\system32\drivers

    »»»» Supression files in C:\Documents and Settings\Nico\Application Data

    Deleted ! - "C:\Documents and Settings\Nico\Application Data\drivers\srosa2.sys"
    Deleted ! - C:\Documents and Settings\Nico\Application Data\drivers\downld\2785031.exe
    Deleted ! - C:\Documents and Settings\Nico\Application Data\drivers\downld\2787656.exe
    Deleted ! - C:\Documents and Settings\Nico\Application Data\drivers\downld\2787671.exe
    Deleted ! - "C:\Documents and Settings\Nico\Application Data\drivers\downld"
    Deleted ! - "C:\Documents and Settings\Nico\Application Data\drivers"

    »»»» Supression files in C:\DOCUME~1\Nico\LOCALS~1\Temp

    »»»» Supression files in C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5

    Deleted ! - C:\Documents and Settings\All Users.WINDOWS\Application Data\Skype\Plugins\Local Cache\7B5560BB781B40259A06350E9B643B6E_more.jpg
    Deleted ! - C:\Documents and Settings\Nathalie2\Mes documents\Ma musique\Toni Braxton\I Don't Want To\AlbumArt_{E66A09B6-9CD3-49B9-A412-CB643F596D19}_Large.jpg
    Deleted ! - C:\Documents and Settings\Nathalie2\Mes documents\Ma musique\Toni Braxton\I Don't Want To\AlbumArt_{E66A09B6-9CD3-49B9-A412-CB643F596D19}_Small.jpg
    Deleted ! - C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5\GHI1K3MN\6E4F71F416805B644123FFDD76A5[1].jpg

    --------------- [ Registry / Infected keys ] ----------------

    Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
    Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
    Deleted ! - HKEY_USERS\S-1-5-21-1078081533-746137067-839522115-1006\Software\Local AppWizard-Generated Applications\winupgro

    --------------- [ States / Restarting of services ] ----------------

    +- Services : [ Auto=2 / Request=3 / Disable=4 ]

    Ndisuio - Type of startup = 3

    EapHost - Type of startup = 2

    Ip6Fw - Type of startup = 2

    SharedAccess - Type of startup = 2

    wuauserv - Type of startup = 2

    wscsvc - Type of startup = 2

    --------------- [ Cleaning removable drives ] ----------------

    +- Informations :

    C: - Lecteur fixe

    +- deleting files :

    --------------- [ Registry / Mountpoint2 ] ----------------

    -> Not found !

    --------------- [ Searching Cracks / Keygen ] ----------------

    C:\Documents and Settings\Nico\Application Data\uTorrent\Lavasoft.Ad-Aware.2008.v7.1.0.1.Cracked-MKDEV.zip.torrent
    C:\Documents and Settings\Nico\Application Data\uTorrent\Western_Europe_1GB v.7.20.1802+Keygen All Maps v7.XXX VERIFIE OK BY TOFBUBU.rar.torrent
    C:\Documents and Settings\Nico\Mes documents\A graver\AcrobatPro7+keygen.iso
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen\insert_meta_from_Map_here
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen\Meta.txt
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen\RunMe English.bat
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen\tt7_keygen.exe
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen\insert_meta_from_Map_here\Western_Europe_1GB-14.meta
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen\insert_meta_from_Map_here\Western_Europe_1GB-14.meta.dct
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\Compact.exe
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\cygwin1.dll
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\Extract.exe
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\gzip.exe
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\Patcher.exe
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\RunMe English.bat
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\ttsystem
    C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\ttsystem.old
    C:\Documents and Settings\Nico\Mes documents\Downloads\Western_Europe_1GB v.7.20.1802+Keygen All Maps v7.XXX VERIFIE OK BY TOFBUBU.rar
    C:\Documents and Settings\Nico\Mes documents\Downloads\Tomtom navigator V_7 Western Europe by hackwarez-crew.com\Tomtom navigator V_7 Western Europe\activation\tt7_keygen.exe
    C:\Documents and Settings\Nico\Mes documents\eMule Downloads\Incoming\Tt7 Western And Central Europe Tomtom Go 7.10 Crack.rar
    C:\Documents and Settings\Nico\Mes documents\K700i\Images\Ice Crack.jpg

    ---------------- ! End of report ! ------------------
    0
  7. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Tant que tu ne supprimes pas çà => Tt7 Western And Central Europe Tomtom Go 7.10 Crack.rar
    L'infection se relancera.
    0
  8. nicplet Messages postés 19 Statut Membre
     
    C'est supprimé, maintenant. Suis-je sauvé?
    0
  9. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    C:\Documents and Settings\Nico\Application Data\uTorrent\Lavasoft.Ad-Aware.2008.v7.1.0.1.Cracked-MKDEV.zip.torrent

    Cracker un truc gratuit...
    j'aurais tout vu...

    Faut virer TOUS les cracks...

    C:\Documents and Settings\Nico\Mes documents\K700i\Images\Ice Crack.jpg
    \AcrobatPro7

    Refais passer Findykill en mode recherche.
    0
  10. nicplet Messages postés 19 Statut Membre
     
    Voici:

    ----------------- FindyKill V4.709 ------------------

    * User : Nico - NICOLAS
    * Emplacement : C:\Program Files\FindyKill
    * Outils Mis a jours le 10/12/08 par Chiquitine29
    * Recherche effectuée à 18:06:45 le jeu. 18/12/2008
    * Windows XP - Internet Explorer 6.0.2900.5512

    ((((((((((((((((( *** Recherche *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\oodag.exe
    C:\WINDOWS\system32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
    C:\Program Files\Mozilla Firefox\firefox.exe

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Presence des fichiers dans C:

    Found ! [18/12/2008 18:06] - C:\InfoSat.txt

    »»»» Presence des fichiers dans C:\WINDOWS

    »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

    »»»» Presence des fichiers dans C:\WINDOWS\system32

    »»»» Presence des fichiers dans C:\WINDOWS\system32\config\systemprofile\AppData\Roaming

    »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

    »»»» Presence des fichiers dans C:\Documents and Settings\Nico\Application Data

    »»»» Presence des fichiers dans C:\DOCUME~1\Nico\LOCALS~1\Temp

    »»»» Presence des fichiers dans C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5

    --------------- [ Registre / Startup ] ----------------

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\not active=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
    Installed=1
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
    Installed=1
    NoChange=1
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
    Installed=1

    --------------- [ Registre / Clés infectieuses ] ----------------

    --------------- [ Etat / Services ] ----------------

    +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

    Ndisuio - Type de démarrage = 3

    EapHost - Type de démarrage = 2

    Ip6Fw - Type de démarrage = 2

    SharedAccess - Type de démarrage = 2

    wuauserv - Type de démarrage = 2

    wscsvc - Type de démarrage = 2

    --------------- [ Recherche dans supports amovibles] ----------------

    +- Informations :

    C: - Lecteur fixe

    +- presence des fichiers :

    --------------- [ Registre / Mountpoint2 ] ----------------

    -> Not found !

    ------------------- ! Fin du rapport ! --------------------
    0
  11. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Tu t'es servi d' Elibagla ???
    0
  12. nicplet Messages postés 19 Statut Membre
     
    OUi, j'avais essayé ça, en effet. J'aurais pas dû?
    0
  13. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Non, je trouvais ceci bizarre :


    Found ! [18/12/2008 18:06] - C:\InfoSat.txt


    Tu peux me poster ce rapport ?
    0
  14. nicplet Messages postés 19 Statut Membre
     
    y'a quasi rien dedans.....

    "
    Thu Dec 18 18:06:35 2008
    EliBagle v12.06 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    "
    0
  15. nicplet Messages postés 19 Statut Membre
     
    En fait, j'avais elibagle et findykill sur mon bureau. J'ai lancé Elibagla en me rendant compte que ce n'était pas ce que tu m'avais demandé. Donc je l'ai arrêté sans le faire tourner. Ensuite j'ai lancé findykill. Ceci excpliquant probablement qu'Elibagla a créé un fichier mais n'a rien inscrit dedans.
    0
  16. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Ok.

    • Télécharge Hijackthis
    Hijackthis (HJT) est un outil de diagnostic pour voir si tout va bien avec ton pc....

    Ø Enregistre HJTInstall.exe sur ton bureau
    Ø Double-clique sur HJTInstall.exe pour lancer le programme
    *. Par défaut, il s'installera là C:\Program Files\Trend Micro\HijackThis
    *. Accepte la license en cliquant sur le bouton "I Accept"
    Ø Choisis l'option "Do a system scan and save a log file"
    *. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
    *. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
    Ø Clic droit => coller ici dans la fenêtre de saisi le rapport que tu viens de copier sur ce forum
    0
  17. nicplet Messages postés 19 Statut Membre
     
    J'ai déjà ce programme, mais je suppose qu'il est verolé par le Bagle car quen je veux le lancer, Windows me dit qu'il ne s'agit pas d'une application Win32 valide.

    JE suppose donc que je dois le désinstaller et le ré-installer. C'est ça?
    0
  18. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Oui.
    0
  19. nicplet Messages postés 19 Statut Membre
     
    C'était bien ça! Voilà:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:51:12, on 18/12/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\oodag.exe
    C:\WINDOWS\system32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
    O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
    O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - http://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Service de configuration Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
    O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
    O23 - Service: Microsoft Office Diagnostics Service (odserv) - Unknown owner - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE (file missing)
    O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Pro Personnel 2007.SP1\Win32\RpcDataSrv.exe
    O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Pro Personnel 2007.SP1\RpcSandraSrv.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    0
  20. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    • Relance HijackThis, choisis "do a scan only"
    coche la case devant les lignes ci-dessous et clic en bas sur "fix checked", puis clique sur OK.

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
    O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
    O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
    O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - http://activex.camfrogweb.com/
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll => Yahoo! YInstHelper Module


    Comment fixer les lignes et Générer un rapport
    (merci balltrap34)

    Ferme HijackThis.
    ===================

    Assure toi qu'Antivir est bien à jour, ( clic droit sur le parapluie => Start Update ) et laisse faire la MàJ.

    Pour vérifier que ton PC soit propre

    Redémarre en mode sans échec !
    Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    - Ouvre Antivir par le menu Démarrer / Programmes
    - Cliquez sur l'onglet Scanner.
    - Sélectionne Manual Selection
    - Sélectionne le disque C
    - Lance le scan - Mets en quarantaine tous les éléments détectés.
    - Une fois le scan terminé Enregistre le rapport.

    Redémarre en mode normal.

    Poste le rapport ici.
    0
  21. nicplet Messages postés 19 Statut Membre
     
    Je n'arrive pas à lancer Antivir car windows m'indique qu'il s'agit d'une application non valide. Que faire? Je reboote?
    0
  • 1
  • 2