Infecter par WINTEMS / HLDRRR / FLEC006
Dernière réponse : dans Sécurité
BONJOUR,
je suis infecter par le virus bagle j'ai essayer ELIBAGLE qui marche pas
et f-secure liens mort je ne c'est quoi faire
aider moi plz !
merci
je suis infecter par le virus bagle j'ai essayer ELIBAGLE qui marche pas
et f-secure liens mort je ne c'est quoi faire
aider moi plz !
merci
Autres pages sur : infecter wintems hldrrr flec006
Lassé par la pub ? Créez un compte
VOILA J'AI REUSSI A OUVRIR elibagla voila le rapport :
Thu Jul 10 02:54:32 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Thu Jul 10 02:55:10 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Thu Jul 10 03:00:57 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Thu Jul 10 06:05:47 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Jul 10 11:33:42 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.
Thu Jul 10 11:33:47 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 8679
Nº Total de Ficheros: 125745
Nº de Ficheros Analizados: 11849
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Thu Jul 10 02:54:32 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Thu Jul 10 02:55:10 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Thu Jul 10 03:00:57 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Thu Jul 10 06:05:47 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Jul 10 11:33:42 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.
Thu Jul 10 11:33:47 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 8679
Nº Total de Ficheros: 125745
Nº de Ficheros Analizados: 11849
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Bonjour,
Fais un clic droit sur ComboFix (de sUBs) et choisis Enregistrer la cible (du lien) sous.
Choisis le Bureau, insère un trait d'union entre Combo et Fix de telle manière à obtenir Combo-Fix.exe, puis choisis Enregistrer.
Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
Double clique sur ComboFix.exe.
Accepte la licence en cliquant sur Oui.
Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.
Le rapport se trouve ici : %systemdrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)
Aide : Comment utiliser ComboFix.
Fais un clic droit sur ComboFix (de sUBs) et choisis Enregistrer la cible (du lien) sous.
Le rapport se trouve ici : %systemdrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)
Aide : Comment utiliser ComboFix.
Le ne c'est plus pourquoi je n'avais plus le net, j'ai desinstaller Mon firewall et antivirus et c'est revenu voici les log DE COMBOFIX :
ComboFix 08-07-09.5 - Propriétaire 2008-07-10 12:00:37.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.290 [GMT 2:00]
* Création d'un nouveau point de restauration
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Propriétaire\Application Data\m
C:\Documents and Settings\Propriétaire\Application Data\m\flec006.exe
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\28571296.exe
C:\WINDOWS\system32\drivers\downld\28577281.exe
C:\WINDOWS\system32\drivers\downld\28590250.exe
C:\WINDOWS\system32\drivers\downld\28597375.exe
C:\WINDOWS\system32\drivers\downld\28616093.exe
C:\WINDOWS\system32\drivers\downld\28625390.exe
C:\WINDOWS\system32\drivers\downld\29811281.exe
C:\WINDOWS\system32\drivers\downld\29844390.exe
C:\WINDOWS\system32\drivers\downld\29860078.exe
C:\WINDOWS\system32\drivers\downld\OP_CACHE.ATR
C:\WINDOWS\system32\drivers\downld\OP_CACHE.IDX
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-10 to 2008-07-10 ))))))))))))))))))))))))))))))))))))
.
2008-07-10 11:33 . 2008-07-10 11:33 <REP> d-------- C:\Program Files\CClean
2008-07-10 02:54 . 2008-07-10 02:54 <REP> d-------- C:\Muestras
2008-07-10 01:46 . 2008-07-10 01:46 <REP> d-------- C:\netcat-0.7.1
2008-07-10 01:38 . 2008-07-10 01:38 <REP> d-------- C:\Program Files\WinPcap
2008-07-10 00:49 . 2008-06-10 19:15 362,144 --a------ C:\WINDOWS\compos.bmp
2008-07-10 00:49 . 2008-06-10 19:29 278,925 --a------ C:\WINDOWS\Web Mass Flood Web Site IP V1.12.exe
2008-07-09 21:06 . 2008-07-09 21:06 0 --a------ C:\WINDOWS\WB.ini
2008-07-09 20:48 . 2008-07-09 20:48 <REP> d-------- C:\Program Files\RayV
2008-07-08 14:39 . 2008-07-08 14:39 <REP> d-------- C:\Program Files\mIRC
2008-07-08 13:59 . 2008-07-08 13:59 <REP> d-------- C:\Program Files\Anonymizer
2008-07-08 13:59 . 2008-07-08 13:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Anonymizer
2008-07-08 13:34 . 2008-07-08 14:00 <REP> d--h----- C:\Documents and Settings\All Users\Application Data\{9E97B640-FCFE-4900-B18A-72FAE662D6B7}
2008-07-07 19:28 . 2008-07-07 19:28 <REP> d-------- C:\Program Files\GIMP-2.0
2008-07-07 00:39 . 2008-07-07 00:39 <REP> d-------- C:\temp
2008-07-06 23:26 . 2008-07-06 23:26 754 --a------ C:\WINDOWS\WORDPAD.INI
2008-07-06 20:43 . 2008-07-06 20:43 107,132 --a------ C:\WINDOWS\UninstallFirefox.exe
2008-07-06 20:42 . 2008-07-06 20:43 2,300 --a------ C:\WINDOWS\mozver.dat
2008-07-06 00:13 . 2008-07-06 00:13 <REP> d-------- C:\Program Files\My-Proxy
2008-07-06 00:13 . 2008-07-06 00:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\EPS
2008-07-05 22:24 . 2004-03-09 00:00 212,240 --a------ C:\WINDOWS\system32\richtx32.OCX
2008-07-05 18:52 . 2008-07-05 18:53 <REP> d-------- C:\Program Files\Total Video Converter
2008-07-05 18:09 . 2008-05-07 10:59 246,443 --a------ C:\WINDOWS\system32\deco fake 2.exe
2008-07-05 18:09 . 2008-02-05 19:34 102,366 --a------ C:\WINDOWS\system32\fond.bmp
2008-07-05 18:09 . 2008-02-04 22:55 7,356 --a------ C:\WINDOWS\system32\bouton.bmp
2008-07-05 18:02 . 2008-04-10 17:23 <REP> d-------- C:\WINDOWS\system32\toolmail32
2008-07-05 18:02 . 2008-04-10 17:37 509,563 --a------ C:\WINDOWS\system32\Mail bomb Atomic eagle V1 by mickael599a.exe
2008-07-05 18:02 . 2008-04-19 22:25 300,660 --a------ C:\WINDOWS\system32\44891.bmp
2008-07-05 18:02 . 2008-04-20 12:48 237,609 --a------ C:\WINDOWS\system32\Msn Gold.exe
2008-07-05 18:02 . 2008-04-18 15:40 67,831 --a------ C:\WINDOWS\system32\Welcome.wma
2008-07-05 18:02 . 2008-04-19 23:04 49,208 --a------ C:\WINDOWS\system32\1111.bmp
2008-07-04 16:17 . 2008-07-04 16:17 <REP> d-------- C:\Program Files\NOS
2008-07-04 16:17 . 2008-07-04 16:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NOS
2008-07-03 21:31 . 2008-07-03 21:52 <REP> d-------- C:\perl
2008-07-03 19:29 . 2008-07-03 19:29 <REP> d-------- C:\Program Files\Advanced Port Scanner
2008-07-03 18:20 . 2008-07-03 18:20 96,182 --a------ C:\WINDOWS\system32\cmd.rar
2008-07-03 14:25 . 2008-07-03 15:55 <REP> d-------- C:\cygwin
2008-07-03 11:36 . 2008-07-03 11:41 <REP> d-------- C:\Program Files\No-IP
2008-07-03 01:18 . 2008-07-03 01:18 <REP> d-------- C:\Program Files\AntoSoft
2008-07-02 23:07 . 2008-07-02 23:07 <REP> d-------- C:\Program Files\Fichiers communs\NSV
2008-07-02 20:38 . 2008-07-10 03:03 2,856 -rahs---- C:\WINDOWS\system32\drivers\OP_CACHE.ATR
2008-07-02 20:38 . 2008-07-10 03:03 1,428 -rahs---- C:\WINDOWS\system32\drivers\OP_CACHE.IDX
2008-07-02 20:36 . 2008-07-02 20:36 24 -rahs---- C:\WINDOWS\system\OP_CACHE.ATR
2008-07-02 20:36 . 2008-07-02 20:36 12 -rahs---- C:\WINDOWS\system\OP_CACHE.IDX
2008-07-02 20:35 . 2008-07-02 20:35 216 -rahs---- C:\OP_CACHE.ATR
2008-07-02 20:35 . 2008-07-02 20:35 108 -rahs---- C:\OP_CACHE.IDX
2008-07-02 20:28 . 2008-07-10 03:00 22,872 -rahs---- C:\WINDOWS\system32\OP_CACHE.ATR
2008-07-02 20:28 . 2008-07-10 03:00 11,436 -rahs---- C:\WINDOWS\system32\OP_CACHE.IDX
2008-07-02 20:28 . 2008-07-10 00:49 5,016 -rahs---- C:\WINDOWS\OP_CACHE.ATR
2008-07-02 20:28 . 2008-07-10 00:49 2,508 -rahs---- C:\WINDOWS\OP_CACHE.IDX
2008-07-02 20:26 . 2008-07-02 20:26 45 ---h----- C:\WINDOWS\dsez7753.dat
2008-07-02 20:15 . 2007-10-29 16:45 49 --a------ C:\WINDOWS\transp.gif
2008-07-02 20:13 . 2008-07-10 11:45 <REP> d-------- C:\WINDOWS\system32\Filt
2008-07-02 20:13 . 2008-07-02 20:13 <REP> d-------- C:\Program Files\Agnitum
2008-07-02 20:12 . 2008-07-02 20:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Agnitum
2008-07-02 19:59 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\PhotoFiltre Studio
2008-07-02 18:12 . 2008-06-19 22:34 <REP> d--h----- C:\Documents and Settings\Reparateur\Voisinage r‚seau
2008-07-02 18:12 . 2008-06-19 22:34 <REP> d--h----- C:\Documents and Settings\Reparateur\Voisinage d'impression
2008-07-02 18:12 . 2008-06-19 21:41 <REP> d--h----- C:\Documents and Settings\Reparateur\ModŠles
2008-07-02 18:12 . 2008-07-02 18:12 <REP> dr------- C:\Documents and Settings\Reparateur\Mes documents
2008-07-02 18:12 . 2008-06-19 22:34 <REP> dr------- C:\Documents and Settings\Reparateur\Menu D‚marrer
2008-07-02 18:12 . 2008-07-02 18:14 <REP> d-------- C:\Documents and Settings\Reparateur\Favoris
2008-07-02 18:12 . 2008-06-19 22:34 <REP> d-------- C:\Documents and Settings\Reparateur\Bureau
2008-07-02 18:12 . 2008-07-09 18:52 <REP> d-------- C:\Documents and Settings\Reparateur
2008-07-02 03:17 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\SHOUTcast
2008-07-02 00:26 . 2008-07-02 00:26 <REP> d-------- C:\Program Files\Common Files
2008-07-01 21:04 . 2008-07-02 18:37 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-07-01 21:03 . 2008-07-02 18:57 <REP> d-------- C:\WINDOWS\Internet Logs
2008-07-01 20:41 . 2004-08-19 16:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-07-01 20:35 . 2008-07-01 21:47 <REP> d-------- C:\Program Files\ESET
2008-07-01 19:52 . 2008-07-01 20:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ESET
2008-07-01 16:50 . 2008-07-02 20:26 <REP> d-------- C:\Program Files\DNA
2008-07-01 16:50 . 2008-07-02 20:26 <REP> d-------- C:\Program Files\BitTorrent
2008-07-01 15:16 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\Winamp Toolbar
2008-07-01 15:16 . 2008-07-01 15:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Winamp Toolbar
2008-07-01 15:14 . 2008-07-01 20:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\OrbNetworks
2008-07-01 15:13 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\Winamp Remote
2008-07-01 15:04 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\Winamp
2008-07-01 13:33 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\Personal Voice Changer Driver
2008-07-01 13:31 . 2008-07-02 20:26 <REP> d-------- C:\Program Files\Fake Voice
2008-07-01 04:16 . 2008-07-01 04:16 <REP> d-------- C:\Program Files\VoipDiscount.com
2008-07-01 02:34 . 2008-07-01 02:34 28 --a------ C:\WINDOWS\system\ATMAIL.AT
2008-07-01 02:34 . 2008-07-01 02:34 26 --a------ C:\WINDOWS\system\ATINFO.AT
2008-07-01 02:34 . 2008-07-01 02:34 12 --a------ C:\WINDOWS\system\ATNAME.AT
2008-07-01 02:17 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\MySmtp
2008-07-01 02:16 . 2008-07-01 02:16 290,816 --------- C:\WINDOWS\Setup1.exe
2008-07-01 02:16 . 2008-07-01 02:16 74,752 --a------ C:\WINDOWS\ST6UNST.EXE
2008-07-01 01:00 . 2008-07-02 20:26 <REP> d-------- C:\Program Files\coolpro2
2008-06-30 11:44 . 2008-07-02 20:26 <REP> d-------- C:\Program Files\Fake Webcam
2008-06-30 11:44 . 2005-08-23 11:35 344,064 --a------ C:\WINDOWS\system32\MSVCR70.DLL
2008-06-30 03:17 . 2008-07-02 20:26 <REP> d-------- C:\Program Files\Evil Msn
2008-06-30 02:52 . 2008-06-30 02:52 <REP> d-------- C:\WINDOWS\Sun
2008-06-30 02:07 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-06-30 02:00 . 2008-06-30 02:07 <REP> d-------- C:\Program Files\Java
2008-06-30 01:58 . 2008-06-30 01:58 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-06-29 21:01 . 2008-06-29 21:01 <REP> d-------- C:\WINDOWS\WinRAR
2008-06-29 18:43 . 2008-05-28 21:24 283,136 --a------ C:\bind.dll
2008-06-27 21:38 . 2008-06-27 21:38 <REP> d-------- C:\Program Files\Stardock
2008-06-27 21:38 . 2008-04-26 16:14 42,672 --a------ C:\WINDOWS\system32\wbsys.dll
2008-06-27 20:46 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\PhotoFiltre
2008-06-27 15:47 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\GMOD
2008-06-27 07:22 . 2008-06-27 07:23 24 ---hs---- C:\WINDOWS\SE276FDBB.tmp
2008-06-27 07:21 . 2008-06-27 07:21 <REP> d-------- C:\Program Files\SlySoft
2008-06-27 00:26 . 2008-07-02 20:28 <REP> d-------- C:\Program Files\Your Freedom
2008-06-26 16:34 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\NewsLeecher
2008-06-26 08:05 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\RAR Password Cracker
2008-06-26 07:56 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\Fraps
2008-06-26 07:56 . 2008-06-28 10:51 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-25 23:20 . 2008-06-25 23:20 <REP> d-------- C:\WINDOWS\ebd
2008-06-25 23:19 . 2008-06-25 23:19 <REP> d-------- C:\WINDOWS\command
2008-06-25 23:09 . 2004-08-05 14:00 251,712 --a------ C:\WINDOWS\ntldr.exe
2008-06-25 23:09 . 2004-08-05 14:00 251,712 --a------ C:\WINDOWS\ntldr.dll
2008-06-25 23:09 . 2004-08-05 14:00 251,712 --a------ C:\ntldr.exe
2008-06-25 23:09 . 2004-08-05 14:00 251,712 --a------ C:\ntldr.dll
2008-06-25 23:08 . 2004-08-05 14:00 251,712 --a------ C:\ntldr
2008-06-23 22:52 . 2008-06-23 22:52 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-06-23 22:50 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\Teamspeak2_RC2
2008-06-23 22:40 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\File Shredder
2008-06-23 22:36 . 2008-06-23 22:36 <REP> d-------- C:\Program Files\SafeSoft
2008-06-23 20:02 . 2008-06-23 20:14 0 --a------ C:\WINDOWS\system32\REMOTEDEVICE.INI
2008-06-23 19:50 . 2008-07-10 12:06 4,756 --a------ C:\WINDOWS\system32\LOCALSERVICE.INI
2008-06-23 19:50 . 2008-07-10 12:06 98 --a------ C:\WINDOWS\system32\LOCALDEVICE.INI
2008-06-23 19:49 . 2008-06-23 19:49 0 --a------ C:\WINDOWS\system32\BSPRINT.INI
2008-06-23 19:46 . 2008-06-23 19:46 <REP> d-------- C:\Program Files\IVT Corporation
2008-06-23 19:46 . 2008-06-23 19:49 32 --a------ C:\WINDOWS\0
2008-06-23 19:46 . 2008-06-23 19:46 0 --a------ C:\WINDOWS\system32\0
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-10 00:24 --------- d-----w C:\Program Files\eMule
2008-07-08 18:19 --------- d-----w C:\Program Files\Steam
2008-07-02 18:37 --------- d-----w C:\Program Files\Fichiers communs\FotoWire
2008-07-02 18:27 --------- d-----w C:\Program Files\Notepad++
2008-07-02 18:27 --------- d-----w C:\Program Files\FileZilla FTP Client
2008-06-22 21:03 --------- d-----w C:\Program Files\Maïdo Production
2008-06-19 21:10 --------- d-----w C:\Program Files\Logitech
2008-06-19 21:10 --------- d-----w C:\Program Files\directx
2008-06-19 21:07 --------- d-----w C:\Program Files\Fichiers communs\Logitech
2008-06-19 21:05 81,920 ------r C:\WINDOWS\bwUnin-6.1.4.68-8876480L.exe
2008-06-19 19:59 --------- d-----w C:\Program Files\VideoLAN
2008-06-19 19:45 --------- d-----w C:\Program Files\microsoft frontpage
2008-06-19 19:43 --------- d-----w C:\Program Files\Services en ligne
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-10-06 15:16 49152]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"VoipDiscount"="C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" [2007-05-31 16:22 7419456]
"Anonymizer"="C:\Program Files\Anonymizer\Anonymizer Software\Anonymizer.exe" [2008-07-08 14:01 1557176]
"RayV"="C:\Program Files\RayV\RayV\RayV.exe" [2008-05-07 15:26 4568360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 15:16 5058560]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2003-10-06 15:16 49152]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2004-05-21 19:11 221184]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-19 16:10 160768]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 11:06 1443072]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"OutpostMonitor"="C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" [2008-07-10 11:36 1012224]
"OutpostFeedBack"="C:\Program Files\Agnitum\Outpost Firewall Pro\feedback.exe" [2008-07-10 11:36 419144]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"nwiz"="nwiz.exe" [2003-10-06 15:16 741376 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
2008-04-29 21:58 210168 C:\Program Files\Stardock\Object Desktop\WindowBlinds\WbSrv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Logitech Desktop Messenger.lnk
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
--a------ 2008-07-01 16:50 289088 C:\Program Files\DNA\btdna.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BtTray]
--a------ 2008-06-05 17:50 231424 C:\Program Files\IVT Corporation\BlueSoleil\BtTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2006-09-28 21:21 57344 C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--------- 2004-06-01 12:46 196608 C:\Program Files\Logitech\Video\ManifestEngine.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--------- 2004-06-01 11:09 458752 C:\Program Files\Logitech\Video\ISStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--------- 2004-06-01 11:03 217088 C:\Program Files\Logitech\Video\LogiTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2008-02-18 17:29 2221352 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2008-04-28 17:14 570664 C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
--a------ 2008-04-01 03:54 507904 C:\Program Files\Winamp Remote\bin\OrbTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2008-06-16 10:52 167936 C:\Program Files\PowerISO\PWRISOVM.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-06-20 13:16 1271032 C:\Program Files\Steam\Steam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipDiscount]
--a------ 2007-05-31 16:22 7419456 C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WebcamMaxMoniter]
--a------ 2007-09-16 07:15 450048 C:\Program Files\WebcamMax\wcmmon.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\MessengerDiscovery\\MessengerDiscovery Live.exe"=
"C:\\Program Files\\Steam\\SteamApps\\bobylive\\counter-strike source\\hl2.exe"=
"C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\french\\setup.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe"=
"C:\\Program Files\\VoipDiscount.com\\VoipDiscount\\VoipDiscount.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\BitTorrent\\bittorrent.exe"=
"C:\\Program Files\\DNA\\btdna.exe"=
"C:\\Program Files\\RayV\\RayV\\RayV.exe"=
R0 BtHidBus;Bluetooth HID Bus Service;C:\WINDOWS\system32\Drivers\BtHidBus.sys [2008-01-21 19:28]
R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-02-20 11:11]
R2 acssrv;Agnitum Client Security Service;C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe [2008-02-29 15:52]
R2 AnonAswSvc;Anonymizer Anti-Spyware Service;C:\Program Files\Anonymizer\Anonymizer Software\AnonASW\AnonAswSvc.exe [2007-10-22 11:12]
R2 AnonMgmtSvc;Anonymizer Management Service;C:\Program Files\Anonymizer\Anonymizer Software\Common\AnonMgmtSvc.exe [2007-10-22 11:12]
R2 BlueSoleilCS;BlueSoleilCS;C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe [2008-06-05 17:50]
R2 BsMobileCS;BsMobileCS;C:\Program Files\IVT Corporation\BlueSoleil\BsMobileCS.exe [2008-06-04 18:26]
R2 CAMTHWDM;WebcamMax, WDM Video Capture;C:\WINDOWS\system32\DRIVERS\CAMTHWDM.sys [2007-10-06 10:38]
R3 BsHelpCS;BsHelpCS;C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe [2008-06-04 18:28]
R3 IvtBtBUs;IVT Bluetooth Bus Service;C:\WINDOWS\system32\Drivers\IvtBtBus.sys [2008-01-21 19:28]
R3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);C:\WINDOWS\system32\DRIVERS\CamDrL20.sys [2004-05-21 21:16]
R3 tenCapture;tenCapture;C:\WINDOWS\system32\DRIVERS\tenCapture.sys [2007-04-21 16:15]
S1 SandBox;SandBox;C:\WINDOWS\system32\DRIVERS\SandBox.sys []
S3 afw;Agnitum firewall driver;C:\WINDOWS\system32\DRIVERS\afw.sys []
S3 ASWFilt;ASWFilt;C:\WINDOWS\system32\Filt\ASWFilt.dll []
S3 getPlus(R) Helper;getPlus(R) Helper;C:\Program Files\NOS\bin\getPlus_HelperSvc.exe [2008-06-26 10:25]
S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-06-19 15:24]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
.
- - - - ORPHANS REMOVED - - - -
Notify-dimsntfy - (no file)
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-10 12:06:56
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Documents and Settings\Propriétaire\Bureau\ELIBAGLA.AI%D8GB%D8%D8H.EXE
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-10 12:16:09 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-10 10:15:02
Pre-Run: 32,053,370,880 octets libres
Post-Run: 31,991,758,848 octets libres
304 --- E O F --- 2008-07-10 01:26:18
VOICI LES LOGS DE ELIBAGLA juste APRE COMBOFIX :
Thu Jul 10 02:54:32 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Thu Jul 10 02:55:10 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Thu Jul 10 03:00:57 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Thu Jul 10 06:05:47 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Jul 10 11:33:42 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.
Thu Jul 10 11:33:47 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 8679
Nº Total de Ficheros: 125745
Nº de Ficheros Analizados: 11849
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Thu Jul 10 11:56:16 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 2
Nº Total de Ficheros: 2074
Nº de Ficheros Analizados: 143
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.
Thu Jul 10 11:56:41 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.
Thu Jul 10 12:06:52 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Thu Jul 10 12:11:38 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\QooBox\Quarantine\C\Documents and Settings\Propriétaire\Application Data\m\FLEC006.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\MDELK.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\WINTEMS.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\SROSA.SYS.VIR --> Eliminado Bagle (rootkit)
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\28590250.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\28616093.EXE.VIR --> Eliminado Bagle
Nº Total de Directorios: 8554
Nº Total de Ficheros: 123659
Nº de Ficheros Analizados: 11894
Nº de Ficheros Infectados: 6
Nº de Ficheros Limpiados: 6
ComboFix 08-07-09.5 - Propriétaire 2008-07-10 12:00:37.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.290 [GMT 2:00]
* Création d'un nouveau point de restauration
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Propriétaire\Application Data\m
C:\Documents and Settings\Propriétaire\Application Data\m\flec006.exe
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\28571296.exe
C:\WINDOWS\system32\drivers\downld\28577281.exe
C:\WINDOWS\system32\drivers\downld\28590250.exe
C:\WINDOWS\system32\drivers\downld\28597375.exe
C:\WINDOWS\system32\drivers\downld\28616093.exe
C:\WINDOWS\system32\drivers\downld\28625390.exe
C:\WINDOWS\system32\drivers\downld\29811281.exe
C:\WINDOWS\system32\drivers\downld\29844390.exe
C:\WINDOWS\system32\drivers\downld\29860078.exe
C:\WINDOWS\system32\drivers\downld\OP_CACHE.ATR
C:\WINDOWS\system32\drivers\downld\OP_CACHE.IDX
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-10 to 2008-07-10 ))))))))))))))))))))))))))))))))))))
.
2008-07-10 11:33 . 2008-07-10 11:33 <REP> d-------- C:\Program Files\CClean
2008-07-10 02:54 . 2008-07-10 02:54 <REP> d-------- C:\Muestras
2008-07-10 01:46 . 2008-07-10 01:46 <REP> d-------- C:\netcat-0.7.1
2008-07-10 01:38 . 2008-07-10 01:38 <REP> d-------- C:\Program Files\WinPcap
2008-07-10 00:49 . 2008-06-10 19:15 362,144 --a------ C:\WINDOWS\compos.bmp
2008-07-10 00:49 . 2008-06-10 19:29 278,925 --a------ C:\WINDOWS\Web Mass Flood Web Site IP V1.12.exe
2008-07-09 21:06 . 2008-07-09 21:06 0 --a------ C:\WINDOWS\WB.ini
2008-07-09 20:48 . 2008-07-09 20:48 <REP> d-------- C:\Program Files\RayV
2008-07-08 14:39 . 2008-07-08 14:39 <REP> d-------- C:\Program Files\mIRC
2008-07-08 13:59 . 2008-07-08 13:59 <REP> d-------- C:\Program Files\Anonymizer
2008-07-08 13:59 . 2008-07-08 13:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Anonymizer
2008-07-08 13:34 . 2008-07-08 14:00 <REP> d--h----- C:\Documents and Settings\All Users\Application Data\{9E97B640-FCFE-4900-B18A-72FAE662D6B7}
2008-07-07 19:28 . 2008-07-07 19:28 <REP> d-------- C:\Program Files\GIMP-2.0
2008-07-07 00:39 . 2008-07-07 00:39 <REP> d-------- C:\temp
2008-07-06 23:26 . 2008-07-06 23:26 754 --a------ C:\WINDOWS\WORDPAD.INI
2008-07-06 20:43 . 2008-07-06 20:43 107,132 --a------ C:\WINDOWS\UninstallFirefox.exe
2008-07-06 20:42 . 2008-07-06 20:43 2,300 --a------ C:\WINDOWS\mozver.dat
2008-07-06 00:13 . 2008-07-06 00:13 <REP> d-------- C:\Program Files\My-Proxy
2008-07-06 00:13 . 2008-07-06 00:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\EPS
2008-07-05 22:24 . 2004-03-09 00:00 212,240 --a------ C:\WINDOWS\system32\richtx32.OCX
2008-07-05 18:52 . 2008-07-05 18:53 <REP> d-------- C:\Program Files\Total Video Converter
2008-07-05 18:09 . 2008-05-07 10:59 246,443 --a------ C:\WINDOWS\system32\deco fake 2.exe
2008-07-05 18:09 . 2008-02-05 19:34 102,366 --a------ C:\WINDOWS\system32\fond.bmp
2008-07-05 18:09 . 2008-02-04 22:55 7,356 --a------ C:\WINDOWS\system32\bouton.bmp
2008-07-05 18:02 . 2008-04-10 17:23 <REP> d-------- C:\WINDOWS\system32\toolmail32
2008-07-05 18:02 . 2008-04-10 17:37 509,563 --a------ C:\WINDOWS\system32\Mail bomb Atomic eagle V1 by mickael599a.exe
2008-07-05 18:02 . 2008-04-19 22:25 300,660 --a------ C:\WINDOWS\system32\44891.bmp
2008-07-05 18:02 . 2008-04-20 12:48 237,609 --a------ C:\WINDOWS\system32\Msn Gold.exe
2008-07-05 18:02 . 2008-04-18 15:40 67,831 --a------ C:\WINDOWS\system32\Welcome.wma
2008-07-05 18:02 . 2008-04-19 23:04 49,208 --a------ C:\WINDOWS\system32\1111.bmp
2008-07-04 16:17 . 2008-07-04 16:17 <REP> d-------- C:\Program Files\NOS
2008-07-04 16:17 . 2008-07-04 16:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NOS
2008-07-03 21:31 . 2008-07-03 21:52 <REP> d-------- C:\perl
2008-07-03 19:29 . 2008-07-03 19:29 <REP> d-------- C:\Program Files\Advanced Port Scanner
2008-07-03 18:20 . 2008-07-03 18:20 96,182 --a------ C:\WINDOWS\system32\cmd.rar
2008-07-03 14:25 . 2008-07-03 15:55 <REP> d-------- C:\cygwin
2008-07-03 11:36 . 2008-07-03 11:41 <REP> d-------- C:\Program Files\No-IP
2008-07-03 01:18 . 2008-07-03 01:18 <REP> d-------- C:\Program Files\AntoSoft
2008-07-02 23:07 . 2008-07-02 23:07 <REP> d-------- C:\Program Files\Fichiers communs\NSV
2008-07-02 20:38 . 2008-07-10 03:03 2,856 -rahs---- C:\WINDOWS\system32\drivers\OP_CACHE.ATR
2008-07-02 20:38 . 2008-07-10 03:03 1,428 -rahs---- C:\WINDOWS\system32\drivers\OP_CACHE.IDX
2008-07-02 20:36 . 2008-07-02 20:36 24 -rahs---- C:\WINDOWS\system\OP_CACHE.ATR
2008-07-02 20:36 . 2008-07-02 20:36 12 -rahs---- C:\WINDOWS\system\OP_CACHE.IDX
2008-07-02 20:35 . 2008-07-02 20:35 216 -rahs---- C:\OP_CACHE.ATR
2008-07-02 20:35 . 2008-07-02 20:35 108 -rahs---- C:\OP_CACHE.IDX
2008-07-02 20:28 . 2008-07-10 03:00 22,872 -rahs---- C:\WINDOWS\system32\OP_CACHE.ATR
2008-07-02 20:28 . 2008-07-10 03:00 11,436 -rahs---- C:\WINDOWS\system32\OP_CACHE.IDX
2008-07-02 20:28 . 2008-07-10 00:49 5,016 -rahs---- C:\WINDOWS\OP_CACHE.ATR
2008-07-02 20:28 . 2008-07-10 00:49 2,508 -rahs---- C:\WINDOWS\OP_CACHE.IDX
2008-07-02 20:26 . 2008-07-02 20:26 45 ---h----- C:\WINDOWS\dsez7753.dat
2008-07-02 20:15 . 2007-10-29 16:45 49 --a------ C:\WINDOWS\transp.gif
2008-07-02 20:13 . 2008-07-10 11:45 <REP> d-------- C:\WINDOWS\system32\Filt
2008-07-02 20:13 . 2008-07-02 20:13 <REP> d-------- C:\Program Files\Agnitum
2008-07-02 20:12 . 2008-07-02 20:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Agnitum
2008-07-02 19:59 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\PhotoFiltre Studio
2008-07-02 18:12 . 2008-06-19 22:34 <REP> d--h----- C:\Documents and Settings\Reparateur\Voisinage r‚seau
2008-07-02 18:12 . 2008-06-19 22:34 <REP> d--h----- C:\Documents and Settings\Reparateur\Voisinage d'impression
2008-07-02 18:12 . 2008-06-19 21:41 <REP> d--h----- C:\Documents and Settings\Reparateur\ModŠles
2008-07-02 18:12 . 2008-07-02 18:12 <REP> dr------- C:\Documents and Settings\Reparateur\Mes documents
2008-07-02 18:12 . 2008-06-19 22:34 <REP> dr------- C:\Documents and Settings\Reparateur\Menu D‚marrer
2008-07-02 18:12 . 2008-07-02 18:14 <REP> d-------- C:\Documents and Settings\Reparateur\Favoris
2008-07-02 18:12 . 2008-06-19 22:34 <REP> d-------- C:\Documents and Settings\Reparateur\Bureau
2008-07-02 18:12 . 2008-07-09 18:52 <REP> d-------- C:\Documents and Settings\Reparateur
2008-07-02 03:17 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\SHOUTcast
2008-07-02 00:26 . 2008-07-02 00:26 <REP> d-------- C:\Program Files\Common Files
2008-07-01 21:04 . 2008-07-02 18:37 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-07-01 21:03 . 2008-07-02 18:57 <REP> d-------- C:\WINDOWS\Internet Logs
2008-07-01 20:41 . 2004-08-19 16:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-07-01 20:35 . 2008-07-01 21:47 <REP> d-------- C:\Program Files\ESET
2008-07-01 19:52 . 2008-07-01 20:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ESET
2008-07-01 16:50 . 2008-07-02 20:26 <REP> d-------- C:\Program Files\DNA
2008-07-01 16:50 . 2008-07-02 20:26 <REP> d-------- C:\Program Files\BitTorrent
2008-07-01 15:16 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\Winamp Toolbar
2008-07-01 15:16 . 2008-07-01 15:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Winamp Toolbar
2008-07-01 15:14 . 2008-07-01 20:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\OrbNetworks
2008-07-01 15:13 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\Winamp Remote
2008-07-01 15:04 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\Winamp
2008-07-01 13:33 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\Personal Voice Changer Driver
2008-07-01 13:31 . 2008-07-02 20:26 <REP> d-------- C:\Program Files\Fake Voice
2008-07-01 04:16 . 2008-07-01 04:16 <REP> d-------- C:\Program Files\VoipDiscount.com
2008-07-01 02:34 . 2008-07-01 02:34 28 --a------ C:\WINDOWS\system\ATMAIL.AT
2008-07-01 02:34 . 2008-07-01 02:34 26 --a------ C:\WINDOWS\system\ATINFO.AT
2008-07-01 02:34 . 2008-07-01 02:34 12 --a------ C:\WINDOWS\system\ATNAME.AT
2008-07-01 02:17 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\MySmtp
2008-07-01 02:16 . 2008-07-01 02:16 290,816 --------- C:\WINDOWS\Setup1.exe
2008-07-01 02:16 . 2008-07-01 02:16 74,752 --a------ C:\WINDOWS\ST6UNST.EXE
2008-07-01 01:00 . 2008-07-02 20:26 <REP> d-------- C:\Program Files\coolpro2
2008-06-30 11:44 . 2008-07-02 20:26 <REP> d-------- C:\Program Files\Fake Webcam
2008-06-30 11:44 . 2005-08-23 11:35 344,064 --a------ C:\WINDOWS\system32\MSVCR70.DLL
2008-06-30 03:17 . 2008-07-02 20:26 <REP> d-------- C:\Program Files\Evil Msn
2008-06-30 02:52 . 2008-06-30 02:52 <REP> d-------- C:\WINDOWS\Sun
2008-06-30 02:07 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-06-30 02:00 . 2008-06-30 02:07 <REP> d-------- C:\Program Files\Java
2008-06-30 01:58 . 2008-06-30 01:58 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-06-29 21:01 . 2008-06-29 21:01 <REP> d-------- C:\WINDOWS\WinRAR
2008-06-29 18:43 . 2008-05-28 21:24 283,136 --a------ C:\bind.dll
2008-06-27 21:38 . 2008-06-27 21:38 <REP> d-------- C:\Program Files\Stardock
2008-06-27 21:38 . 2008-04-26 16:14 42,672 --a------ C:\WINDOWS\system32\wbsys.dll
2008-06-27 20:46 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\PhotoFiltre
2008-06-27 15:47 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\GMOD
2008-06-27 07:22 . 2008-06-27 07:23 24 ---hs---- C:\WINDOWS\SE276FDBB.tmp
2008-06-27 07:21 . 2008-06-27 07:21 <REP> d-------- C:\Program Files\SlySoft
2008-06-27 00:26 . 2008-07-02 20:28 <REP> d-------- C:\Program Files\Your Freedom
2008-06-26 16:34 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\NewsLeecher
2008-06-26 08:05 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\RAR Password Cracker
2008-06-26 07:56 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\Fraps
2008-06-26 07:56 . 2008-06-28 10:51 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-25 23:20 . 2008-06-25 23:20 <REP> d-------- C:\WINDOWS\ebd
2008-06-25 23:19 . 2008-06-25 23:19 <REP> d-------- C:\WINDOWS\command
2008-06-25 23:09 . 2004-08-05 14:00 251,712 --a------ C:\WINDOWS\ntldr.exe
2008-06-25 23:09 . 2004-08-05 14:00 251,712 --a------ C:\WINDOWS\ntldr.dll
2008-06-25 23:09 . 2004-08-05 14:00 251,712 --a------ C:\ntldr.exe
2008-06-25 23:09 . 2004-08-05 14:00 251,712 --a------ C:\ntldr.dll
2008-06-25 23:08 . 2004-08-05 14:00 251,712 --a------ C:\ntldr
2008-06-23 22:52 . 2008-06-23 22:52 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-06-23 22:50 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\Teamspeak2_RC2
2008-06-23 22:40 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\File Shredder
2008-06-23 22:36 . 2008-06-23 22:36 <REP> d-------- C:\Program Files\SafeSoft
2008-06-23 20:02 . 2008-06-23 20:14 0 --a------ C:\WINDOWS\system32\REMOTEDEVICE.INI
2008-06-23 19:50 . 2008-07-10 12:06 4,756 --a------ C:\WINDOWS\system32\LOCALSERVICE.INI
2008-06-23 19:50 . 2008-07-10 12:06 98 --a------ C:\WINDOWS\system32\LOCALDEVICE.INI
2008-06-23 19:49 . 2008-06-23 19:49 0 --a------ C:\WINDOWS\system32\BSPRINT.INI
2008-06-23 19:46 . 2008-06-23 19:46 <REP> d-------- C:\Program Files\IVT Corporation
2008-06-23 19:46 . 2008-06-23 19:49 32 --a------ C:\WINDOWS\0
2008-06-23 19:46 . 2008-06-23 19:46 0 --a------ C:\WINDOWS\system32\0
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-10 00:24 --------- d-----w C:\Program Files\eMule
2008-07-08 18:19 --------- d-----w C:\Program Files\Steam
2008-07-02 18:37 --------- d-----w C:\Program Files\Fichiers communs\FotoWire
2008-07-02 18:27 --------- d-----w C:\Program Files\Notepad++
2008-07-02 18:27 --------- d-----w C:\Program Files\FileZilla FTP Client
2008-06-22 21:03 --------- d-----w C:\Program Files\Maïdo Production
2008-06-19 21:10 --------- d-----w C:\Program Files\Logitech
2008-06-19 21:10 --------- d-----w C:\Program Files\directx
2008-06-19 21:07 --------- d-----w C:\Program Files\Fichiers communs\Logitech
2008-06-19 21:05 81,920 ------r C:\WINDOWS\bwUnin-6.1.4.68-8876480L.exe
2008-06-19 19:59 --------- d-----w C:\Program Files\VideoLAN
2008-06-19 19:45 --------- d-----w C:\Program Files\microsoft frontpage
2008-06-19 19:43 --------- d-----w C:\Program Files\Services en ligne
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-10-06 15:16 49152]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"VoipDiscount"="C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" [2007-05-31 16:22 7419456]
"Anonymizer"="C:\Program Files\Anonymizer\Anonymizer Software\Anonymizer.exe" [2008-07-08 14:01 1557176]
"RayV"="C:\Program Files\RayV\RayV\RayV.exe" [2008-05-07 15:26 4568360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 15:16 5058560]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2003-10-06 15:16 49152]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2004-05-21 19:11 221184]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-19 16:10 160768]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 11:06 1443072]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"OutpostMonitor"="C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" [2008-07-10 11:36 1012224]
"OutpostFeedBack"="C:\Program Files\Agnitum\Outpost Firewall Pro\feedback.exe" [2008-07-10 11:36 419144]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"nwiz"="nwiz.exe" [2003-10-06 15:16 741376 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
2008-04-29 21:58 210168 C:\Program Files\Stardock\Object Desktop\WindowBlinds\WbSrv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Logitech Desktop Messenger.lnk
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
--a------ 2008-07-01 16:50 289088 C:\Program Files\DNA\btdna.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BtTray]
--a------ 2008-06-05 17:50 231424 C:\Program Files\IVT Corporation\BlueSoleil\BtTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2006-09-28 21:21 57344 C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--------- 2004-06-01 12:46 196608 C:\Program Files\Logitech\Video\ManifestEngine.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--------- 2004-06-01 11:09 458752 C:\Program Files\Logitech\Video\ISStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--------- 2004-06-01 11:03 217088 C:\Program Files\Logitech\Video\LogiTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2008-02-18 17:29 2221352 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2008-04-28 17:14 570664 C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
--a------ 2008-04-01 03:54 507904 C:\Program Files\Winamp Remote\bin\OrbTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2008-06-16 10:52 167936 C:\Program Files\PowerISO\PWRISOVM.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-06-20 13:16 1271032 C:\Program Files\Steam\Steam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipDiscount]
--a------ 2007-05-31 16:22 7419456 C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WebcamMaxMoniter]
--a------ 2007-09-16 07:15 450048 C:\Program Files\WebcamMax\wcmmon.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\MessengerDiscovery\\MessengerDiscovery Live.exe"=
"C:\\Program Files\\Steam\\SteamApps\\bobylive\\counter-strike source\\hl2.exe"=
"C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\french\\setup.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe"=
"C:\\Program Files\\VoipDiscount.com\\VoipDiscount\\VoipDiscount.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\BitTorrent\\bittorrent.exe"=
"C:\\Program Files\\DNA\\btdna.exe"=
"C:\\Program Files\\RayV\\RayV\\RayV.exe"=
R0 BtHidBus;Bluetooth HID Bus Service;C:\WINDOWS\system32\Drivers\BtHidBus.sys [2008-01-21 19:28]
R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-02-20 11:11]
R2 acssrv;Agnitum Client Security Service;C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe [2008-02-29 15:52]
R2 AnonAswSvc;Anonymizer Anti-Spyware Service;C:\Program Files\Anonymizer\Anonymizer Software\AnonASW\AnonAswSvc.exe [2007-10-22 11:12]
R2 AnonMgmtSvc;Anonymizer Management Service;C:\Program Files\Anonymizer\Anonymizer Software\Common\AnonMgmtSvc.exe [2007-10-22 11:12]
R2 BlueSoleilCS;BlueSoleilCS;C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe [2008-06-05 17:50]
R2 BsMobileCS;BsMobileCS;C:\Program Files\IVT Corporation\BlueSoleil\BsMobileCS.exe [2008-06-04 18:26]
R2 CAMTHWDM;WebcamMax, WDM Video Capture;C:\WINDOWS\system32\DRIVERS\CAMTHWDM.sys [2007-10-06 10:38]
R3 BsHelpCS;BsHelpCS;C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe [2008-06-04 18:28]
R3 IvtBtBUs;IVT Bluetooth Bus Service;C:\WINDOWS\system32\Drivers\IvtBtBus.sys [2008-01-21 19:28]
R3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);C:\WINDOWS\system32\DRIVERS\CamDrL20.sys [2004-05-21 21:16]
R3 tenCapture;tenCapture;C:\WINDOWS\system32\DRIVERS\tenCapture.sys [2007-04-21 16:15]
S1 SandBox;SandBox;C:\WINDOWS\system32\DRIVERS\SandBox.sys []
S3 afw;Agnitum firewall driver;C:\WINDOWS\system32\DRIVERS\afw.sys []
S3 ASWFilt;ASWFilt;C:\WINDOWS\system32\Filt\ASWFilt.dll []
S3 getPlus(R) Helper;getPlus(R) Helper;C:\Program Files\NOS\bin\getPlus_HelperSvc.exe [2008-06-26 10:25]
S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-06-19 15:24]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
.
- - - - ORPHANS REMOVED - - - -
Notify-dimsntfy - (no file)
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-10 12:06:56
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Documents and Settings\Propriétaire\Bureau\ELIBAGLA.AI%D8GB%D8%D8H.EXE
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-10 12:16:09 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-10 10:15:02
Pre-Run: 32,053,370,880 octets libres
Post-Run: 31,991,758,848 octets libres
304 --- E O F --- 2008-07-10 01:26:18
VOICI LES LOGS DE ELIBAGLA juste APRE COMBOFIX :
Thu Jul 10 02:54:32 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Thu Jul 10 02:55:10 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Thu Jul 10 03:00:57 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Thu Jul 10 06:05:47 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Jul 10 11:33:42 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.
Thu Jul 10 11:33:47 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 8679
Nº Total de Ficheros: 125745
Nº de Ficheros Analizados: 11849
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Thu Jul 10 11:56:16 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 2
Nº Total de Ficheros: 2074
Nº de Ficheros Analizados: 143
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.
Thu Jul 10 11:56:41 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.58
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.
Thu Jul 10 12:06:52 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Thu Jul 10 12:11:38 2008
EliBagle v11.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\QooBox\Quarantine\C\Documents and Settings\Propriétaire\Application Data\m\FLEC006.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\MDELK.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\WINTEMS.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\SROSA.SYS.VIR --> Eliminado Bagle (rootkit)
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\28590250.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\28616093.EXE.VIR --> Eliminado Bagle
Nº Total de Directorios: 8554
Nº Total de Ficheros: 123659
Nº de Ficheros Analizados: 11894
Nº de Ficheros Infectados: 6
Nº de Ficheros Limpiados: 6
Re,
Des fichiers assez douteux ..
Télécharge MsnFix (de !aur3n7) sur ton Bureau.
Dézippe le sur ton bureau.
Ouvre le dossier MSNFix puis double-clique sur MSNFix.bat. (L’extension bat peut ne pas apparaître)
Exécute l'option R.
Si l'infection est détectée, presse une touche pour lancer le Nettoyage. (N)
Si tu dois redémarrer l’ordinateur fais le manuellement.
Poste le rapport situé dans le dossier MSNFix.
Le nom du rapport correspond au moment de sa création : date_heure.log
Note: Si tu obtiens un fichier zip d’upload sur ton bureau, merci de l'envoyer sur http://upload.changelog.fr
Comment Uploader ?
Aide : Comment utiliser MSNFix.
Des fichiers assez douteux ..
Télécharge MsnFix (de !aur3n7) sur ton Bureau.
Note: Si tu obtiens un fichier zip d’upload sur ton bureau, merci de l'envoyer sur http://upload.changelog.fr
Comment Uploader ?
Aide : Comment utiliser MSNFix.
jamais detecté !Lassé par la pub ? Créez un compte
- Contenus similaires :
