Se connecter / S'enregistrer
Votre question

Help ! infection bagle.KT

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
24 Octobre 2008 16:31:46

Ce qui devait arriver arriva !
Je suis visiblement (d'après un scan bitdefender) infecté par bagle.kt
Après un ralentissement soudain, le son s'est ensuite coupé, puis l'accès à internet...
Heureusement, je peux toujours bosser depuis mon portable et j'ai fait ce qu'il fallait comme sauvegardes sur mes différents DD externes...

Hijakcthis ne veux pas se lancer (application win32 non valide...).
J'ai réussi à lancer ELIBLAGA dont voici le log :

Fri Oct 24 16:08:11 2008
EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Fri Oct 24 16:09:11 2008
EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 11844
Nº Total de Ficheros: 125954
Nº de Ficheros Analizados: 17567
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Depuis peu le son est revenu,
Je n'arrive pas à copier catch me sur le PC importé depuis une carte memoire (il plante),
Et je n'arrive pas a redemarer en mode sans echec...
La fête quoi...


Autres pages sur : help infection bagle

a b 8 Sécurité
24 Octobre 2008 17:45:42

Un bonjour ?

[#ff0000]! Désactive tes protections résidentes (antivirus, Spybot-S&D, etc.) ![/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\combofix.txt*) dans ta prochaine réponse.

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer
    27 Octobre 2008 10:37:51

    Oui, Bonjour au fait, pardon !

    Et merci pour cette réponse si rapide !
    A priori c'est réglé.

    En fait, j'ai reussi a l'eradiquer, a priori en lançant un scan et un nettoyage à l'aide de Malwarebyte's anti malware, tout simplement.

    Maintenant, plus de traces de ce ver, Le % d'utilisation de l'UC est revenu a la normale, le son aussi mais par contre je ne retrouve pas ma connexion à internet... rien dans le panneau de configuration / connexion reseau !
    J'ai réinstallé le pilote de ma carte reseau mais rien n'y fait...
    Contenus similaires
    a b 8 Sécurité
    27 Octobre 2008 12:30:36

    Fais quand même ce que j'ai dit.
    27 Octobre 2008 14:33:54

    Voilà :

    ComboFix 08-10-25.01 - Propriétaire 2008-10-27 14:02:22.1 - NTFSx86
    Lancé depuis: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users\Application Data\pdfxls2.dll
    C:\InfoSat.txt
    C:\WINDOWS\IE4 Error Log.txt
    C:\WINDOWS\system32\drivers\winfilse.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_SROSA


    ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-27 au 2008-10-27 ))))))))))))))))))))))))))))))))))))
    .

    2008-10-24 16:00 . 2008-10-24 16:00 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes
    2008-10-24 15:59 . 2008-10-24 15:59 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-10-24 15:59 . 2008-10-24 15:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-10-24 15:59 . 2008-10-22 15:28 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-10-24 15:59 . 2008-10-22 15:28 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-10-24 08:46 . 2008-10-24 08:47 <REP> d--h-c--- C:\Documents and Settings\All Users\Application Data\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}
    2008-10-23 08:30 . 2008-10-23 11:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
    2008-10-23 08:27 . 2008-10-23 08:48 <REP> d-------- C:\Program Files\Windows Live Safety Center
    2008-10-23 07:55 . 2008-10-23 07:55 <REP> d-------- C:\Program Files\Trend Micro
    2008-10-23 07:47 . 2008-06-19 16:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
    2008-10-23 07:46 . 2008-10-23 07:46 <REP> d-------- C:\Program Files\Panda Security
    2008-10-16 17:06 . 2008-10-16 17:06 <REP> d-------- C:\Program Files\YouSendIt
    2008-10-16 17:06 . 2008-10-16 17:06 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\YouSendIt
    2008-10-16 07:46 . 2008-09-08 11:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
    2008-10-16 07:45 . 2008-08-14 14:23 2,191,232 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
    2008-10-16 07:45 . 2008-08-14 14:23 2,147,328 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
    2008-10-16 07:45 . 2008-08-14 14:23 2,068,096 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
    2008-10-16 07:45 . 2008-08-14 14:23 2,025,984 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
    2008-10-16 07:45 . 2008-09-15 16:26 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
    2008-10-07 16:21 . 2008-10-07 16:21 <REP> d-------- C:\Program Files\QuickTime

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-10-27 13:13 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Skype
    2008-10-27 10:37 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT
    2008-10-27 10:37 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLds.DAT
    2008-10-27 09:18 --------- d-----w C:\Program Files\UltimateZip
    2008-10-27 08:12 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\skypePM
    2008-10-24 08:35 --------- d-----w C:\Program Files\Everest Poker
    2008-10-23 12:03 --------- d-----w C:\Program Files\eMule
    2008-10-22 09:04 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Image Zone Express
    2008-10-21 14:31 --------- d-----w C:\Program Files\Opera
    2008-10-17 07:01 --------- d-----w C:\Program Files\Common Files
    2008-10-07 15:21 --------- d-----w C:\Program Files\Fichiers communs\Apple
    2008-10-07 15:19 --------- d-----w C:\Program Files\Apple Software Update
    2008-10-06 11:50 310,424 ----a-w C:\Documents and Settings\Propriétaire\Application Data\GDIPFONTCACHEV1.DAT
    2008-09-26 07:08 142,485 ----a-w C:\Documents and Settings\Propriétaire\Application Data\mdbu.bin
    2008-09-25 07:23 --------- d-----w C:\Program Files\Java
    2008-09-24 16:00 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\U3
    2008-09-23 18:11 --------- d-----w C:\Program Files\Picthema
    2008-09-23 13:32 --------- d-----w C:\Program Files\MSECache
    2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
    2008-09-04 08:18 --------- d-----w C:\Program Files\Winamp
    2008-03-13 12:05 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLbz.DAT
    2008-03-09 09:15 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-01 17:22 21898024]
    "H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 21:45 1211176]
    "googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-01-01 22:22 3739648]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 03:33 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WebDriveTray"="C:\Program Files\NetDrive\netdrive.exe" [2003-06-04 11:49 294912]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 03:27 144784]
    "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 09:22 155648]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
    "RaidTool"="C:\Program Files\VIA\RAID\raid_tool.exe" [2005-04-26 04:22 589824]
    "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-09-06 14:09 413696]
    "PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-10 10:20 57393]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
    "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-14 09:00 267064]
    "IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-10 10:39 40960]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 21:52 49152]
    "DataLayer"="C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe" [2005-06-07 10:31 819712]
    "CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 14:47 57344]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
    "SoundMan"="SOUNDMAN.EXE" [2005-09-22 09:42 90112 C:\WINDOWS\soundman.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 03:33 15360]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-04-01 08:02:38 568176]
    HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 21:40:10 210520]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]
    TabUserW.exe.lnk - C:\WINDOWS\system32\WTablet\TabUserW.exe [2006-03-16 12:31:25 114688]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "MSACM.CEGSM"= mobilev.acm

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkbMonitor.exe.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkbMonitor.exe.lnk
    backup=C:\WINDOWS\pss\NkbMonitor.exe.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk
    backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^QuickScan (OpticFilm 7200i).lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\QuickScan (OpticFilm 7200i).lnk
    backup=C:\WINDOWS\pss\QuickScan (OpticFilm 7200i).lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eCarteBleue-CLEO]
    --a------ 2006-02-07 09:07 200704 C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
    --a------ 2005-06-29 14:29 176128 C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "StyleXPService"=2 (0x2)
    "iPodService"=3 (0x3)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\iTunes\\iTunes.exe"=
    "C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=
    "C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"=
    "C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 16:24 28544]
    R2 WebDriveFSD;WebDrive File System Driver;C:\Program Files\NetDrive\rffsd.sys [2002-11-27 12:40 67032]
    R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2007-09-21 19:24 43520]
    R3 PAC207;CamMaestro 3.01 DU PC Camera;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-05-27 14:57 162304]
    R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 19:45 15104]
    R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 19:45 26368]
    S3 brfilt;Pilote de filtre Brother MFC;C:\WINDOWS\system32\Drivers\Brfilt.sys [2001-08-17 21:12 2944]
    S3 BrSerIf;Brother MFC Serial Port Interface WDM Driver;C:\WINDOWS\system32\Drivers\BrSerIf.sys [2004-09-29 02:24 51712]
    S3 BrSerWDM;Pilote série Brother;C:\WINDOWS\system32\Drivers\BrSerWdm.sys [2001-08-17 21:12 60416]
    S3 BrUsbMdm;Brother MFC USB modem télécopieur uniquement;C:\WINDOWS\system32\Drivers\BrUsbMdm.sys [2001-08-17 21:12 11008]
    S3 BrUsbScn;Pilote de scanneur Brother MFC USB;C:\WINDOWS\system32\Drivers\BrUsbScn.sys [2001-08-17 21:12 10368]
    S3 BrUsbSer;Brother MFC USB Serial WDM Driver;C:\WINDOWS\system32\Drivers\BrUsbSer.sys [2004-01-10 03:28 11648]
    S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [ ]
    S3 cvspydr2;ColorVision Spyder 2;C:\WINDOWS\system32\DRIVERS\cvspydr2.sys [2002-04-02 15:30 33024]
    S3 SetupNTGLM7X;SetupNTGLM7X;G:\NTGLM7X.sys [ ]
    S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57 58320]
    S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58 8304]
    S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59 94000]
    S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\WlanUIG.sys [ ]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aae7e282-422f-11db-b6ea-0015f23f9c9d}]
    \Shell\AutoRun\command - D:\ReadMe.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b92e1da9-1d99-11dc-b84d-0003c97ece38}]
    \Shell\AutoRun\command - J:\LaunchU3.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c6ca8a75-21a3-11dd-ba26-0015f23f9c9d}]
    \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL delautorun.bat
    \Shell\ɱ¶¾(&K)\command - F:\delautorun.bat

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6cc1d7b-5177-11db-b717-0015f23f9c9d}]
    \Shell\AutoRun\command - D:\InstallTomTomHOME.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed482284-1be8-11dc-b84a-0003c97ece38}]
    \Shell\AutoRun\command - D:\wd_windows_tools\setup.exe
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-updateMgr - C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
    HKCU-Run-Steam - (no file)
    HKU-Default-Run-Picasa Media Detector - C:\Program Files\Picasa2\PicasaMediaDetector.exe
    SafeBoot-sglfb.sys
    SafeBoot-tga.sys
    SafeBoot-wd.sys
    SafeBoot-sacsvr
    MSConfigStartUp-MsnMsgr - C:\Program Files\MSN Messenger\MsnMsgr.Exe
    MSConfigStartUp-Online News Screensaver - C:\Program Files\Online News Screensaver\onsagent.exe
    MSConfigStartUp-Picasa Media Detector - C:\Program Files\Picasa2\PicasaMediaDetector.exe


    .
    ------- Examen supplémentaire -------
    .
    FireFox -: Profile - C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\mkixuffw.default\
    FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.flickr.com/
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-10-27 14:12:27
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    a b 8 Sécurité
    27 Octobre 2008 15:55:15

    Reposte un rapport Hijackthis.
    27 Octobre 2008 16:00:14

    Hijackthis ne marche pas (application win32 non valide)
    a b 8 Sécurité
    27 Octobre 2008 16:45:40

    Tu as retesté ?
    27 Octobre 2008 16:56:44

    Oui, oui, toujours le même message !
    a b 8 Sécurité
    27 Octobre 2008 17:21:41

    En retéléchargeant Hijackthis ?
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS