Votre question

Infection Bagle

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Avril 2008 15:07:22

Slt,

Voilà j'ai été infecté par bagle
Symptome : plus de wifi, pc ralenti, plus d'antivirus, icones miniatures disparue.
Après avoir visité les différents sujets sur le sujet, il semble bien que chaque cas soit différents.
J'ai pu installer une version d'évaluation de kaspersky qui m'a nettoyé un certain nombre de chose.
J'ai téléchargé Combofix et sur le site de bleepingcomputer.com, ils conseillent de soumettre les logs à des personnes expérimentées qui pourront constater si le nettoyage a été suffisant.

Elibagla ne trouve plus rien.

Voici d'abord le log de Combofix et ensuite le log de Hijackthis :

Merci d'avance.

LOG Combofix :
ComboFix 08-03-30.5 - FLB 2008-04-01 14:33:09.2 - NTFSx86
Microsoft® Windows Vista™ Édition Intégrale 6.0.6000.0.1252.1.1036.18.648 [GMT 2:00]
Endroit: C:\Users\FLB\Desktop\kilbag.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2008-03-01 to 2008-04-01 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2099-11-27 20:43 --------- d-sh--w C:\Program Files\Fichiers communs
2099-11-27 20:43 --------- d-sh--w C:\PROGRA~2\Modèles
2099-11-27 20:43 --------- d-sh--w C:\PROGRA~2\Menu Démarrer
2099-11-27 20:43 --------- d-sh--w C:\PROGRA~2\Favoris
2099-11-27 20:43 --------- d-sh--w C:\PROGRA~2\Bureau
2008-04-01 11:19 --------- d-----w C:\PROGRA~2\Kaspersky Lab
2008-04-01 11:12 23,789,536 --sha-w C:\Windows\system32\drivers\fidbox.dat
2008-04-01 08:37 3,188 --sha-w C:\Windows\system32\drivers\fidbox.idx
2008-04-01 08:31 91,700 ----a-w C:\Windows\system32\drivers\klin.dat
2008-04-01 08:31 85,860 ----a-w C:\Windows\system32\drivers\klick.dat
2008-04-01 08:29 --------- d-----w C:\Program Files\Kaspersky Lab
2008-03-31 10:11 --------- d-----w C:\Program Files\QuickTime
2008-03-24 18:02 --------- d-----w C:\PROGRA~2\FLEXnet
2008-03-24 17:53 --------- d-----w C:\Program Files\Common Files\Adobe
2008-03-24 17:51 --------- d-----w C:\Program Files\Bonjour
2008-03-24 17:21 --------- d-----w C:\Program Files\Common Files\Macrovision Shared
2008-03-24 09:08 --------- d-----w C:\Users\FLB\AppData\Roaming\Skype
2008-03-22 16:52 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-21 09:38 --------- d-----w C:\Program Files\Total Video Converter
2008-03-13 17:25 --------- d-----w C:\PROGRA~2\Microsoft Help
2008-03-13 11:40 --------- d-----w C:\Program Files\Free Audio Pack
2008-03-07 14:48 --------- d-----w C:\PROGRA~2\Hewlett-Packard
2008-03-06 19:03 --------- d-----w C:\Program Files\ESET
2008-03-06 19:03 --------- d-----w C:\PROGRA~2\ESET
2008-03-06 16:42 --------- d---a-w C:\PROGRA~2\TEMP
2008-03-06 16:42 --------- d-----w C:\Program Files\wamp
2008-03-06 16:42 --------- d-----w C:\Program Files\vmntoolbar
2008-03-06 16:41 37,888 ----a-w C:\Windows\System32\rar.exe
2008-03-04 11:18 --------- d-----w C:\PROGRA~2\TuneUp Software
2008-02-29 20:01 --------- d-----w C:\Program Files\7-Zip
2008-02-19 09:43 --------- d-----w C:\Users\FLB\AppData\Roaming\Sites prédéfinis
2008-02-19 09:43 --------- d-----w C:\Users\FLB\AppData\Roaming\Dynamique
2008-02-19 09:40 --------- d-----w C:\Users\FLB\AppData\Roaming\FileZilla
2008-02-19 09:40 --------- d-----w C:\Program Files\Visicom Media
2008-02-18 18:17 --------- d-----w C:\Program Files\FileZilla Client
2008-02-18 17:26 --------- d-----w C:\Program Files\EasyPHP 2.0b1
2008-02-17 10:51 32 ----a-w C:\Users\All Users\ezsid.dat
2008-02-17 10:51 32 ----a-w C:\PROGRA~2\ezsid.dat
2008-02-17 10:51 --------- d-----w C:\Users\FLB\AppData\Roaming\skypePM
2008-02-17 10:46 --------- d-----w C:\Program Files\Skype
2008-02-17 10:46 --------- d-----w C:\Program Files\Common Files\Skype
2008-02-17 10:46 --------- d-----w C:\PROGRA~2\Skype
2008-02-15 10:09 --------- d-----w C:\Program Files\Capturino 1.4
2008-02-10 09:45 --------- d-----w C:\Program Files\DAEMON Tools Lite
2008-02-10 09:43 --------- d-----w C:\Users\FLB\AppData\Roaming\DAEMON Tools
2008-02-10 09:39 716,272 ----a-w C:\Windows\system32\drivers\sptd.sys
2008-02-08 16:37 219,664 ----a-w C:\Windows\System32\klogon.dll
2008-02-08 16:35 23,604 ----a-w C:\Windows\system32\drivers\klopp.dat
2008-01-27 14:57 6,656 ----a-w C:\Windows\System32\haspvdd.dll
2008-01-27 14:57 191,488 ----a-w C:\Windows\System32\hlvdd.dll
2007-11-27 22:22 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-11-28 00:07 1006264]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2008-02-08 18:36 227856]
"MSConfig"="C:\Windows\system32\msconfig.exe" [2006-11-02 11:45 222208]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
--a------ 2006-11-02 14:33 201728 C:\Program Files\Windows Media Player\WMPNSCFG.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"nwiz"=nwiz.exe /install
"NvCplDaemon"=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
"Windows Mobile-based device management"=%windir%\WindowsMobile\wmdSync.exe
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2886225831-1025066225-3868441325-1000]
"EnableNotificationsRef"=dword:00000005

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{D558A2DF-0D8B-4C0A-8AC5-C2E2B21CCFED}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{FA67F902-6780-43C7-B119-92C98173732E}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"TCP Query User{375E6235-32E5-4BA5-838A-3C7D8F587D6E}C:\\users\\flb\\documents\\emule\\emule.exe"= UDP:C:\users\flb\documents\emule\emule.exe:emule.exe
"UDP Query User{DAE9CA9A-A3E5-40A5-B2CE-DDF61C27DA59}C:\\users\\flb\\documents\\emule\\emule.exe"= TCP:C:\users\flb\documents\emule\emule.exe:emule.exe
"TCP Query User{72F7325F-2B26-4564-8351-756EF391E6EB}C:\\program files\\utorrent\\utorrent.exe"= UDP:C:\program files\utorrent\utorrent.exe:uTorrent
"UDP Query User{8B427BEC-099C-4D32-A147-327A6A25E9BB}C:\\program files\\utorrent\\utorrent.exe"= TCP:C:\program files\utorrent\utorrent.exe:uTorrent
"{CAA9B04E-6260-47B6-84F4-01F289181217}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{3743EA6B-3C31-4BE8-9B3E-DC6C163AC1DA}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{45E2361E-F3FB-4B19-B575-E2C98816757C}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{5FB7C115-465C-4FD3-A513-DF9785A29924}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{88C83674-3CAC-4829-915B-721696115A17}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{DFA0BCC1-3CC3-4573-BA65-0528E657C794}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{63ED5FDD-3530-4885-B250-755F6927F25C}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{C8E27B17-5C94-4206-992C-A6C042E4E27D}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"TCP Query User{F5E1A1A3-607D-497B-B139-A79490F84A72}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{19D4E03C-7103-4823-A8A3-C6815735241A}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"TCP Query User{18729108-38CD-44C0-9092-8F33A66A5AD6}C:\\program files\\wamp\\bin\\apache\\apache2.2.6\\bin\\httpd.exe"= UDP:C:\program files\wamp\bin\apache\apache2.2.6\bin\httpd.exe:Apache HTTP Server
"UDP Query User{56B42449-AFED-4A37-BF54-2AE893616713}C:\\program files\\wamp\\bin\\apache\\apache2.2.6\\bin\\httpd.exe"= TCP:C:\program files\wamp\bin\apache\apache2.2.6\bin\httpd.exe:Apache HTTP Server
"TCP Query User{0014D6B5-BDF6-4C02-9823-18C11EE5CD69}C:\\program files\\filezilla client\\filezilla.exe"= UDP:C:\program files\filezilla client\filezilla.exe:FileZilla FTP Client
"UDP Query User{7D952B6A-A90F-4129-A838-15E08E624FF2}C:\\program files\\filezilla client\\filezilla.exe"= TCP:C:\program files\filezilla client\filezilla.exe:FileZilla FTP Client
"TCP Query User{17924EB0-0394-403C-824C-77268002ABC4}C:\\users\\flb\\documents\\emule\\emule.exe"= UDP:C:\users\flb\documents\emule\emule.exe:emule.exe
"UDP Query User{62FD7736-BDE1-4BB4-832F-5309C192A178}C:\\users\\flb\\documents\\emule\\emule.exe"= TCP:C:\users\flb\documents\emule\emule.exe:emule.exe
"TCP Query User{8BEF1D5E-77BE-4D3C-8D34-178C38C370D0}C:\\users\\flb\\desktop\\superscan\\superscan4.exe"= UDP:C:\users\flb\desktop\superscan\superscan4.exe:superscan4.exe
"UDP Query User{C76E008C-750E-487D-83C4-7E5772842C6F}C:\\users\\flb\\desktop\\superscan\\superscan4.exe"= TCP:C:\users\flb\desktop\superscan\superscan4.exe:superscan4.exe
"TCP Query User{FDEFE3C0-E766-46E0-8B5E-046C9423E188}C:\\windows\\system32\\msiexec16.exe"= UDP:C:\windows\system32\msiexec16.exe:msiexec16
"UDP Query User{3CF93324-B493-414F-BA1D-B7C232CC1237}C:\\windows\\system32\\msiexec16.exe"= TCP:C:\windows\system32\msiexec16.exe:msiexec16
"TCP Query User{D1564078-D40F-4630-9E3E-848FFA765059}C:\\users\\flb\\documents\\emule\\incoming\\wingate_6 1 4 1099+kgen\\wingate_6.1.4.1099.exe"= UDP:C:\users\flb\documents\emule\incoming\wingate_6 1 4 1099+kgen\wingate_6.1.4.1099.exe:wingate_6.1.4.1099.exe
"UDP Query User{61CCCA6D-767E-4897-8BC6-1AFDBF83928B}C:\\users\\flb\\documents\\emule\\incoming\\wingate_6 1 4 1099+kgen\\wingate_6.1.4.1099.exe"= TCP:C:\users\flb\documents\emule\incoming\wingate_6 1 4 1099+kgen\wingate_6.1.4.1099.exe:wingate_6.1.4.1099.exe
"TCP Query User{CF8136C3-F0B9-437A-9F3C-3E7679EC34C4}C:\\program files\\internet explorer\\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{8D9699FB-AA32-40A3-B572-C5CF8BE6FB50}C:\\program files\\internet explorer\\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R1 epfwtdir;epfwtdir;C:\Windows\system32\DRIVERS\epfwtdir.sys [2007-12-21 09:21]
R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;C:\Windows\system32\DRIVERS\klim6.sys [2007-10-16 11:05]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2007-09-06 13:02]
R2 RapiMgr;Connectivité de l'appareil Windows Mobile;C:\Windows\system32\svchost.exe [2006-11-02 11:45]
R2 UxTuneUp;TuneUp Extension de thème;C:\Windows\System32\svchost.exe [2006-11-02 11:45]
R2 WcesComm;Connectivité de l'appareil Windows Mobile 2003;C:\Windows\system32\svchost.exe [2006-11-02 11:45]
R3 BCM43XV;Pilote de la carte réseau extensible Broadcom 802.11;C:\Windows\system32\DRIVERS\bcmwl6.sys [2006-11-02 09:30]
S2 TimerStop;TimerStop;C:\Windows\system32\TimerStop.sys [2006-12-18 22:34]
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\Windows\system32\DRIVERS\sis163u.sys [2005-06-20 10:12]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-01 14:39:00
Windows 6.0.6000 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-01 14:40:47
ComboFix-quarantined-files.txt 2008-04-01 12:40:39
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
.
2007-11-30 07:42:02 --- E O F ---


LOG HIJACKTHIS :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:17, on 01/04/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\Explorer.exe
C:\Windows\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Users\FLB\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

--
End of file - 4218 bytes

Merci de m'indiquer si vous pensez qu'il reste des traces de quelque chose.

Autres pages sur : infection bagle

a b 8 Sécurité
1 Avril 2008 15:59:31

Bonjour,

Pourquoi Bagle ?
1 Avril 2008 16:06:48

c'est ce nom qui est apparu plusieurs fois : après l'analyse elibagla et kaspersky.
Mais visiblement, il semblerait que tout rentre dans l'ordre. Mon wifi fonctionne à nouveau. Il ne me reste plus que 2 petits problèmes : mes icones miniatures qui n'apparaissent plus automatiquement et windows defender qui ne se lance plus.

Merci quand même
Contenus similaires
a b 8 Sécurité
1 Avril 2008 16:08:32

Ok. Tu as la source de l'infection (crack, etc.) ?

Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
    [#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    AIDE : Tuto en images sur MBAM
    1 Avril 2008 16:44:57

    l'analyse est en cours...mais c'est long ! (info : le lancement du logiciel en mode sans échec n'a pas fonctionné.)
    a b 8 Sécurité
    1 Avril 2008 16:58:33

    Ok.
    1 Avril 2008 18:46:50

    voilà une partie du rapport, j'ai deux éléments infectés mais je n'ai pas encore le 2ème (petit problème de rapport ! lol) en tout cas, voilà le 1er objet infecté :

    Malwarebytes' Anti-Malware 1.09
    Version de la base de données: 576

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 49891
    Temps écoulé: 18 minute(s), 19 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    a b 8 Sécurité
    1 Avril 2008 19:09:14

    Reposte un rapport Hijackthis.
    1 Avril 2008 19:16:22

    voilà:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:15:43, on 01/04/2008
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16546)
    Boot mode: Normal

    Running processes:
    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\wbem\unsecapp.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Windows Media Player\wmpnetwk.exe
    C:\Windows\system32\NOTEPAD.EXE
    C:\Program Files\Spyware Doctor\pctsAuxs.exe
    C:\Program Files\Spyware Doctor\pctsSvc.exe
    C:\Program Files\Spyware Doctor\pctsTray.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Spyware Doctor\pctsGui.exe
    C:\Users\FLB\Desktop\HiJackThis.exe
    C:\Windows\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvsvc32.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

    --
    End of file - 5314 bytes
    a b 8 Sécurité
    1 Avril 2008 19:26:12

    Apparemment ok.
    1 Avril 2008 19:41:38

    un petit pb qd même, je suis en train de faire une analyse avec spyware doctor et il m'indique qu'il y a un certain nombre de trucs à effacer mais avec des risques faibles. Cependant, il me met une infection plus dangereuse :

    Il se trouve ici :
    HKEY_LOCAL_MACHINE\system\controlset001\services\srosa ImagePath = \??\C:\windows\system32\drivers\srosa.sys


    Nom: Rootkit.Agent
    Niveau de risque : High

    Description: Rootkit.Agent is a trojan that hijack browser in order to produce popup advertisements from known badsites and also have rootkit functionality in order to hide itself as system driver.
    Type: Hijacker, Rootkit, TT_Troj
    Also known as: Rootkit.Agent.CL [Bitdefender] Rootkit.Win32.Agent.iy Rootkit.
    Removal: This infection can be removed using Spyware Doctor.

    1 Avril 2008 19:45:16

    je suis en train de faire la désinfection par spywaredoctor...
    a b 8 Sécurité
    1 Avril 2008 20:57:19

    Refais un scan Combofix.
    2 Avril 2008 09:31:58

    slt

    voici le dernier rapport combofix :

    ComboFix 08-04-01.2 - FLB 2008-04-02 9:21:51.1 - NTFSx86
    Microsoft® Windows Vista™ Édition Intégrale 6.0.6000.0.1252.1.1036.18.675 [GMT 2:00]
    Endroit: C:\Users\FLB\Desktop\fiiii.exe
    * Création d'un nouveau point de restauration
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2008-03-02 to 2008-04-02 ))))))))))))))))))))))))))))))))))))
    .

    Pas de nouveau fichier créé dans cet espace de temps

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2099-11-27 20:43 --------- d-sh--w C:\Program Files\Fichiers communs
    2099-11-27 20:43 --------- d-sh--w C:\PROGRA~2\Modèles
    2099-11-27 20:43 --------- d-sh--w C:\PROGRA~2\Menu Démarrer
    2099-11-27 20:43 --------- d-sh--w C:\PROGRA~2\Favoris
    2099-11-27 20:43 --------- d-sh--w C:\PROGRA~2\Bureau
    2008-04-02 06:46 --------- d---a-w C:\PROGRA~2\TEMP
    2008-04-02 06:23 --------- d-----w C:\PROGRA~2\Kaspersky Lab
    2008-04-02 06:16 27,591,456 --sha-w C:\Windows\system32\drivers\fidbox.dat
    2008-04-02 01:52 --------- d-----w C:\Program Files\Spyware Doctor
    2008-04-01 17:11 --------- d-----w C:\PROGRA~2\nView_Profiles
    2008-04-01 16:55 --------- d-----w C:\Users\FLB\AppData\Roaming\PC Tools
    2008-04-01 14:21 255,236 --sha-w C:\Windows\system32\drivers\fidbox.idx
    2008-04-01 14:20 --------- d-----w C:\Users\FLB\AppData\Roaming\Malwarebytes
    2008-04-01 14:20 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
    2008-04-01 14:19 --------- d-----w C:\PROGRA~2\Malwarebytes
    2008-04-01 08:31 91,700 ----a-w C:\Windows\system32\drivers\klin.dat
    2008-04-01 08:31 85,860 ----a-w C:\Windows\system32\drivers\klick.dat
    2008-04-01 08:29 --------- d-----w C:\Program Files\Kaspersky Lab
    2008-03-31 10:11 --------- d-----w C:\Program Files\QuickTime
    2008-03-28 21:19 86,528 ----a-w C:\Windows\System32\VACFix.exe
    2008-03-26 06:50 82,432 ----a-w C:\Windows\System32\IEDFix.exe
    2008-03-24 18:02 --------- d-----w C:\PROGRA~2\FLEXnet
    2008-03-24 17:53 --------- d-----w C:\Program Files\Common Files\Adobe
    2008-03-24 17:51 --------- d-----w C:\Program Files\Bonjour
    2008-03-24 17:21 --------- d-----w C:\Program Files\Common Files\Macrovision Shared
    2008-03-24 09:08 --------- d-----w C:\Users\FLB\AppData\Roaming\Skype
    2008-03-22 16:52 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-03-21 09:38 --------- d-----w C:\Program Files\Total Video Converter
    2008-03-13 17:25 --------- d-----w C:\PROGRA~2\Microsoft Help
    2008-03-13 11:40 --------- d-----w C:\Program Files\Free Audio Pack
    2008-03-07 14:48 --------- d-----w C:\PROGRA~2\Hewlett-Packard
    2008-03-06 19:03 --------- d-----w C:\Program Files\ESET
    2008-03-06 19:03 --------- d-----w C:\PROGRA~2\ESET
    2008-03-06 16:42 --------- d-----w C:\Program Files\wamp
    2008-03-06 16:42 --------- d-----w C:\Program Files\vmntoolbar
    2008-03-06 16:41 37,888 ----a-w C:\Windows\System32\rar.exe
    2008-03-04 11:18 --------- d-----w C:\PROGRA~2\TuneUp Software
    2008-02-29 20:01 --------- d-----w C:\Program Files\7-Zip
    2008-02-19 09:43 --------- d-----w C:\Users\FLB\AppData\Roaming\Sites prédéfinis
    2008-02-19 09:43 --------- d-----w C:\Users\FLB\AppData\Roaming\Dynamique
    2008-02-19 09:40 --------- d-----w C:\Users\FLB\AppData\Roaming\FileZilla
    2008-02-19 09:40 --------- d-----w C:\Program Files\Visicom Media
    2008-02-18 18:17 --------- d-----w C:\Program Files\FileZilla Client
    2008-02-18 17:26 --------- d-----w C:\Program Files\EasyPHP 2.0b1
    2008-02-17 10:51 32 ----a-w C:\Users\All Users\ezsid.dat
    2008-02-17 10:51 32 ----a-w C:\PROGRA~2\ezsid.dat
    2008-02-17 10:51 --------- d-----w C:\Users\FLB\AppData\Roaming\skypePM
    2008-02-17 10:46 --------- d-----w C:\Program Files\Skype
    2008-02-17 10:46 --------- d-----w C:\Program Files\Common Files\Skype
    2008-02-17 10:46 --------- d-----w C:\PROGRA~2\Skype
    2008-02-15 10:09 --------- d-----w C:\Program Files\Capturino 1.4
    2008-02-10 09:45 --------- d-----w C:\Program Files\DAEMON Tools Lite
    2008-02-10 09:43 --------- d-----w C:\Users\FLB\AppData\Roaming\DAEMON Tools
    2008-02-10 09:39 716,272 ----a-w C:\Windows\system32\drivers\sptd.sys
    2008-02-08 16:37 219,664 ----a-w C:\Windows\System32\klogon.dll
    2008-02-08 16:35 23,604 ----a-w C:\Windows\system32\drivers\klopp.dat
    2008-01-27 14:57 6,656 ----a-w C:\Windows\System32\haspvdd.dll
    2008-01-27 14:57 191,488 ----a-w C:\Windows\System32\hlvdd.dll
    2007-11-27 22:22 174 --sha-w C:\Program Files\desktop.ini
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:33 201728]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-11-28 00:07 1006264]
    "AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2008-02-08 18:36 227856]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
    "ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    "nwiz"=nwiz.exe /install
    "NvCplDaemon"=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    "LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    "Windows Mobile-based device management"=%windir%\WindowsMobile\wmdSync.exe
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    "egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2886225831-1025066225-3868441325-1000]
    "EnableNotificationsRef"=dword:00000005

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
    "TCP Query User{D558A2DF-0D8B-4C0A-8AC5-C2E2B21CCFED}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
    "UDP Query User{FA67F902-6780-43C7-B119-92C98173732E}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
    "TCP Query User{375E6235-32E5-4BA5-838A-3C7D8F587D6E}C:\\users\\flb\\documents\\emule\\emule.exe"= UDP:C:\users\flb\documents\emule\emule.exe:emule.exe
    "UDP Query User{DAE9CA9A-A3E5-40A5-B2CE-DDF61C27DA59}C:\\users\\flb\\documents\\emule\\emule.exe"= TCP:C:\users\flb\documents\emule\emule.exe:emule.exe
    "TCP Query User{72F7325F-2B26-4564-8351-756EF391E6EB}C:\\program files\\utorrent\\utorrent.exe"= UDP:C:\program files\utorrent\utorrent.exe:uTorrent
    "UDP Query User{8B427BEC-099C-4D32-A147-327A6A25E9BB}C:\\program files\\utorrent\\utorrent.exe"= TCP:C:\program files\utorrent\utorrent.exe:uTorrent
    "{CAA9B04E-6260-47B6-84F4-01F289181217}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
    "{3743EA6B-3C31-4BE8-9B3E-DC6C163AC1DA}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
    "{45E2361E-F3FB-4B19-B575-E2C98816757C}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
    "{5FB7C115-465C-4FD3-A513-DF9785A29924}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
    "{88C83674-3CAC-4829-915B-721696115A17}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
    "{DFA0BCC1-3CC3-4573-BA65-0528E657C794}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
    "{63ED5FDD-3530-4885-B250-755F6927F25C}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
    "{C8E27B17-5C94-4206-992C-A6C042E4E27D}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
    "TCP Query User{F5E1A1A3-607D-497B-B139-A79490F84A72}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
    "UDP Query User{19D4E03C-7103-4823-A8A3-C6815735241A}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
    "TCP Query User{18729108-38CD-44C0-9092-8F33A66A5AD6}C:\\program files\\wamp\\bin\\apache\\apache2.2.6\\bin\\httpd.exe"= UDP:C:\program files\wamp\bin\apache\apache2.2.6\bin\httpd.exe:Apache HTTP Server
    "UDP Query User{56B42449-AFED-4A37-BF54-2AE893616713}C:\\program files\\wamp\\bin\\apache\\apache2.2.6\\bin\\httpd.exe"= TCP:C:\program files\wamp\bin\apache\apache2.2.6\bin\httpd.exe:Apache HTTP Server
    "TCP Query User{0014D6B5-BDF6-4C02-9823-18C11EE5CD69}C:\\program files\\filezilla client\\filezilla.exe"= UDP:C:\program files\filezilla client\filezilla.exe:FileZilla FTP Client
    "UDP Query User{7D952B6A-A90F-4129-A838-15E08E624FF2}C:\\program files\\filezilla client\\filezilla.exe"= TCP:C:\program files\filezilla client\filezilla.exe:FileZilla FTP Client
    "TCP Query User{17924EB0-0394-403C-824C-77268002ABC4}C:\\users\\flb\\documents\\emule\\emule.exe"= UDP:C:\users\flb\documents\emule\emule.exe:emule.exe
    "UDP Query User{62FD7736-BDE1-4BB4-832F-5309C192A178}C:\\users\\flb\\documents\\emule\\emule.exe"= TCP:C:\users\flb\documents\emule\emule.exe:emule.exe
    "TCP Query User{8BEF1D5E-77BE-4D3C-8D34-178C38C370D0}C:\\users\\flb\\desktop\\superscan\\superscan4.exe"= UDP:C:\users\flb\desktop\superscan\superscan4.exe:superscan4.exe
    "UDP Query User{C76E008C-750E-487D-83C4-7E5772842C6F}C:\\users\\flb\\desktop\\superscan\\superscan4.exe"= TCP:C:\users\flb\desktop\superscan\superscan4.exe:superscan4.exe
    "TCP Query User{FDEFE3C0-E766-46E0-8B5E-046C9423E188}C:\\windows\\system32\\msiexec16.exe"= UDP:C:\windows\system32\msiexec16.exe:msiexec16
    "UDP Query User{3CF93324-B493-414F-BA1D-B7C232CC1237}C:\\windows\\system32\\msiexec16.exe"= TCP:C:\windows\system32\msiexec16.exe:msiexec16
    "TCP Query User{D1564078-D40F-4630-9E3E-848FFA765059}C:\\users\\flb\\documents\\emule\\incoming\\wingate_6 1 4 1099+kgen\\wingate_6.1.4.1099.exe"= UDP:C:\users\flb\documents\emule\incoming\wingate_6 1 4 1099+kgen\wingate_6.1.4.1099.exe:wingate_6.1.4.1099.exe
    "UDP Query User{61CCCA6D-767E-4897-8BC6-1AFDBF83928B}C:\\users\\flb\\documents\\emule\\incoming\\wingate_6 1 4 1099+kgen\\wingate_6.1.4.1099.exe"= TCP:C:\users\flb\documents\emule\incoming\wingate_6 1 4 1099+kgen\wingate_6.1.4.1099.exe:wingate_6.1.4.1099.exe
    "TCP Query User{CF8136C3-F0B9-437A-9F3C-3E7679EC34C4}C:\\program files\\internet explorer\\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
    "UDP Query User{8D9699FB-AA32-40A3-B572-C5CF8BE6FB50}C:\\program files\\internet explorer\\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
    "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

    R1 epfwtdir;epfwtdir;C:\Windows\system32\DRIVERS\epfwtdir.sys [2007-12-21 09:21]
    R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;C:\Windows\system32\DRIVERS\klim6.sys [2007-10-16 11:05]
    R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2007-09-06 13:02]
    R2 RapiMgr;Connectivité de l'appareil Windows Mobile;C:\Windows\system32\svchost.exe [2006-11-02 11:45]
    R2 UxTuneUp;TuneUp Extension de thème;C:\Windows\System32\svchost.exe [2006-11-02 11:45]
    R2 WcesComm;Connectivité de l'appareil Windows Mobile 2003;C:\Windows\system32\svchost.exe [2006-11-02 11:45]
    R3 BCM43XV;Pilote de la carte réseau extensible Broadcom 802.11;C:\Windows\system32\DRIVERS\bcmwl6.sys [2006-11-02 09:30]
    S2 TimerStop;TimerStop;C:\Windows\system32\TimerStop.sys [2006-12-18 22:34]
    S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\Windows\system32\DRIVERS\sis163u.sys [2005-06-20 10:12]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    WindowsMobile REG_MULTI_SZ wcescomm rapimgr
    LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-04-02 09:27:17
    Windows 6.0.6000 NTFS

    detected NTDLL code modification:
    ZwClose

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-04-02 9:29:03
    ComboFix-quarantined-files.txt 2008-04-02 07:28:55
    Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
    Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
    .
    2007-11-30 07:42:02 --- E O F ---
    2 Avril 2008 09:41:28

    j'ai fait
    - un scan kaspersky => OK
    - un scan spyware octor => OK
    - un scan DrWeb => il a trouvé des bricoles mais visiblement c'est pas grave.
    - un scan Malwarebytes => OK

    J'ai plus que 2 problème suite à l'infection
    - les icones miniatures dans mon explorateur windows ne s'affichent pas toujours ou alors sont floues
    - je n'arrive pas à changer le fond d'écran qui reste tout noir

    Où peut-on trouver des infos pour savoir comment analyser un log combofix stp ?

    Merci d'avance
    a b 8 Sécurité
    2 Avril 2008 13:22:46

    Bizarre :/ 

    Télécharge Gmer.
    Dézippe le dans un dossier ou sur ton bureau.

    Déconnecte toi d'Internet puis et ferme tous les programmes.
    Double-clique sur Gmer.exe.

    IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

    Clique sur l'onglet rootkit.
    A droite, coche Files et Services.
    Clique maintenant sur Scan.

    Lorsque le scan est terminé, clique sur Copy.

    Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
    Le rapport doit alors apparaître.
    Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
    2 Avril 2008 17:53:46

    excuse, j'arrive jute et l'analyse est en cours...
    2 Avril 2008 17:56:51

    un autre petit souci, qui n'est pas vraiment gênant, mais j'ai désactivé le contrôle de compte d'utilisateur mais, la fenêtre de confirmation s'ouvre quand même quelques fois quand je lance un prog. encore un truc bizarre !!!
    2 Avril 2008 18:04:56

    le scan s'est terminé en me disant dans une fenêtre :

    "GMER hasn't found any system modification."

    ...aussi flou que mes icones tout ça...lol tu as une idée ?
    a b 8 Sécurité
    2 Avril 2008 20:01:48

    Tu n'es apparemment plus infecté.
    2 Avril 2008 20:39:50

    OK merci bien de ton aide
    a b 8 Sécurité
    3 Avril 2008 17:09:56

    Bonne continuation :) 

  • Télécharge ToolsCleaner sur ton Bureau.
  • Clique sur Recherche et laisse le scan se terminer.
  • Clique sur Suppression pour finaliser.
  • Clique sur Quitter, pour que le rapport puisse se créer.
  • Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\)

    Désactive puis réactive la restauration du système : Voir aide

    Ajoute maintenant [Résolu] au titre. Pour cela :
    * Clique, dans ton premier message, sur le bouton "Editer"
    * Rajoute la mention [Résolu] au titre
    * Clique ensuite sur "Valider votre message"

    Lis le dossier dossier sur la prévention et la protection pour ne plus avoir ce genre de problème en cliquant sur l'image ci-dessous :

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS