Help ! infection bagle.KT
Forum Sécurité - Virus : Help ! infection bagle.KT
Ce qui devait arriver arriva !
Je suis visiblement (d'après un scan bitdefender) infecté par bagle.kt
Après un ralentissement soudain, le son s'est ensuite coupé, puis l'accès à internet...
Heureusement, je peux toujours bosser depuis mon portable et j'ai fait ce qu'il fallait comme sauvegardes sur mes différents DD externes...
Hijakcthis ne veux pas se lancer (application win32 non valide...).
J'ai réussi à lancer ELIBLAGA dont voici le log :
Fri Oct 24 16:08:11 2008
EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Fri Oct 24 16:09:11 2008
EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 11844
Nº Total de Ficheros: 125954
Nº de Ficheros Analizados: 17567
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Depuis peu le son est revenu,
Je n'arrive pas à copier catch me sur le PC importé depuis une carte memoire (il plante),
Et je n'arrive pas a redemarer en mode sans echec...
La fête quoi...
Un bonjour ?
! Désactive tes protections résidentes (antivirus, Spybot-S&D, etc.) !
- Télécharge ComboFix (sUBs) sur ton Bureau.
- Double clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
- Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\combofix.txt*) dans ta prochaine réponse.
AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer
Répondre à Angeldark
Oui, Bonjour au fait, pardon !
Et merci pour cette réponse si rapide !
A priori c'est réglé.
En fait, j'ai reussi a l'eradiquer, a priori en lançant un scan et un nettoyage à l'aide de Malwarebyte's anti malware, tout simplement.
Maintenant, plus de traces de ce ver, Le % d'utilisation de l'UC est revenu a la normale, le son aussi mais par contre je ne retrouve pas ma connexion à internet... rien dans le panneau de configuration / connexion reseau !
J'ai réinstallé le pilote de ma carte reseau mais rien n'y fait...
Fais quand même ce que j'ai dit.
Répondre à Angeldark
Voilà :
ComboFix 08-10-25.01 - Propriétaire 2008-10-27 14:02:22.1 - NTFSx86
Lancé depuis: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users\Application Data\pdfxls2.dll
C:\InfoSat.txt
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\system32\drivers\winfilse.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SROSA
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-27 au 2008-10-27 ))))))))))))))))))))))))))))))))))))
.
2008-10-24 16:00 . 2008-10-24 16:00 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes
2008-10-24 15:59 . 2008-10-24 15:59 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-24 15:59 . 2008-10-24 15:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-24 15:59 . 2008-10-22 15:28 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-24 15:59 . 2008-10-22 15:28 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-24 08:46 . 2008-10-24 08:47 <REP> d--h-c--- C:\Documents and Settings\All Users\Application Data\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}
2008-10-23 08:30 . 2008-10-23 11:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-10-23 08:27 . 2008-10-23 08:48 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-10-23 07:55 . 2008-10-23 07:55 <REP> d-------- C:\Program Files\Trend Micro
2008-10-23 07:47 . 2008-06-19 16:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-10-23 07:46 . 2008-10-23 07:46 <REP> d-------- C:\Program Files\Panda Security
2008-10-16 17:06 . 2008-10-16 17:06 <REP> d-------- C:\Program Files\YouSendIt
2008-10-16 17:06 . 2008-10-16 17:06 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\YouSendIt
2008-10-16 07:46 . 2008-09-08 11:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-16 07:45 . 2008-08-14 14:23 2,191,232 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-16 07:45 . 2008-08-14 14:23 2,147,328 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-16 07:45 . 2008-08-14 14:23 2,068,096 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-16 07:45 . 2008-08-14 14:23 2,025,984 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-16 07:45 . 2008-09-15 16:26 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-07 16:21 . 2008-10-07 16:21 <REP> d-------- C:\Program Files\QuickTime
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-27 13:13 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Skype
2008-10-27 10:37 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT
2008-10-27 10:37 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLds.DAT
2008-10-27 09:18 --------- d-----w C:\Program Files\UltimateZip
2008-10-27 08:12 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\skypePM
2008-10-24 08:35 --------- d-----w C:\Program Files\Everest Poker
2008-10-23 12:03 --------- d-----w C:\Program Files\eMule
2008-10-22 09:04 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Image Zone Express
2008-10-21 14:31 --------- d-----w C:\Program Files\Opera
2008-10-17 07:01 --------- d-----w C:\Program Files\Common Files
2008-10-07 15:21 --------- d-----w C:\Program Files\Fichiers communs\Apple
2008-10-07 15:19 --------- d-----w C:\Program Files\Apple Software Update
2008-10-06 11:50 310,424 ----a-w C:\Documents and Settings\Propriétaire\Application Data\GDIPFONTCACHEV1.DAT
2008-09-26 07:08 142,485 ----a-w C:\Documents and Settings\Propriétaire\Application Data\mdbu.bin
2008-09-25 07:23 --------- d-----w C:\Program Files\Java
2008-09-24 16:00 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\U3
2008-09-23 18:11 --------- d-----w C:\Program Files\Picthema
2008-09-23 13:32 --------- d-----w C:\Program Files\MSECache
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-09-04 08:18 --------- d-----w C:\Program Files\Winamp
2008-03-13 12:05 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLbz.DAT
2008-03-09 09:15 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-01 17:22 21898024]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 21:45 1211176]
"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-01-01 22:22 3739648]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 03:33 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WebDriveTray"="C:\Program Files\NetDrive\netdrive.exe" [2003-06-04 11:49 294912]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 03:27 144784]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 09:22 155648]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"RaidTool"="C:\Program Files\VIA\RAID\raid_tool.exe" [2005-04-26 04:22 589824]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-09-06 14:09 413696]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-10 10:20 57393]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-14 09:00 267064]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-10 10:39 40960]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 21:52 49152]
"DataLayer"="C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe" [2005-06-07 10:31 819712]
"CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 14:47 57344]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 09:42 90112 C:\WINDOWS\soundman.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 03:33 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-04-01 08:02:38 568176]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 21:40:10 210520]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]
TabUserW.exe.lnk - C:\WINDOWS\system32\WTablet\TabUserW.exe [2006-03-16 12:31:25 114688]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkbMonitor.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkbMonitor.exe.lnk
backup=C:\WINDOWS\pss\NkbMonitor.exe.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk
backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^QuickScan (OpticFilm 7200i).lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\QuickScan (OpticFilm 7200i).lnk
backup=C:\WINDOWS\pss\QuickScan (OpticFilm 7200i).lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eCarteBleue-CLEO]
--a------ 2006-02-07 09:07 200704 C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2005-06-29 14:29 176128 C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"StyleXPService"=2 (0x2)
"iPodService"=3 (0x3)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 16:24 28544]
R2 WebDriveFSD;WebDrive File System Driver;C:\Program Files\NetDrive\rffsd.sys [2002-11-27 12:40 67032]
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2007-09-21 19:24 43520]
R3 PAC207;CamMaestro 3.01 DU PC Camera;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-05-27 14:57 162304]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 19:45 15104]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 19:45 26368]
S3 brfilt;Pilote de filtre Brother MFC;C:\WINDOWS\system32\Drivers\Brfilt.sys [2001-08-17 21:12 2944]
S3 BrSerIf;Brother MFC Serial Port Interface WDM Driver;C:\WINDOWS\system32\Drivers\BrSerIf.sys [2004-09-29 02:24 51712]
S3 BrSerWDM;Pilote série Brother;C:\WINDOWS\system32\Drivers\BrSerWdm.sys [2001-08-17 21:12 60416]
S3 BrUsbMdm;Brother MFC USB modem télécopieur uniquement;C:\WINDOWS\system32\Drivers\BrUsbMdm.sys [2001-08-17 21:12 11008]
S3 BrUsbScn;Pilote de scanneur Brother MFC USB;C:\WINDOWS\system32\Drivers\BrUsbScn.sys [2001-08-17 21:12 10368]
S3 BrUsbSer;Brother MFC USB Serial WDM Driver;C:\WINDOWS\system32\Drivers\BrUsbSer.sys [2004-01-10 03:28 11648]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [ ]
S3 cvspydr2;ColorVision Spyder 2;C:\WINDOWS\system32\DRIVERS\cvspydr2.sys [2002-04-02 15:30 33024]
S3 SetupNTGLM7X;SetupNTGLM7X;G:\NTGLM7X.sys [ ]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57 58320]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58 8304]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59 94000]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\WlanUIG.sys [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aae7e282-422f-11db-b6ea-0015f23f9c9d}]
\Shell\AutoRun\command - D:\ReadMe.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b92e1da9-1d99-11dc-b84d-0003c97ece38}]
\Shell\AutoRun\command - J:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c6ca8a75-21a3-11dd-ba26-0015f23f9c9d}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL delautorun.bat
\Shell\ɱ¶¾(&K)\command - F:\delautorun.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6cc1d7b-5177-11db-b717-0015f23f9c9d}]
\Shell\AutoRun\command - D:\InstallTomTomHOME.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed482284-1be8-11dc-b84a-0003c97ece38}]
\Shell\AutoRun\command - D:\wd_windows_tools\setup.exe
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-updateMgr - C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-Steam - (no file)
HKU-Default-Run-Picasa Media Detector - C:\Program Files\Picasa2\PicasaMediaDetector.exe
SafeBoot-sglfb.sys
SafeBoot-tga.sys
SafeBoot-wd.sys
SafeBoot-sacsvr
MSConfigStartUp-MsnMsgr - C:\Program Files\MSN Messenger\MsnMsgr.Exe
MSConfigStartUp-Online News Screensaver - C:\Program Files\Online News Screensaver\onsagent.exe
MSConfigStartUp-Picasa Media Detector - C:\Program Files\Picasa2\PicasaMediaDetector.exe
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\mkixuffw.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.flickr.com/
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-27 14:12:27
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Reposte un rapport Hijackthis.
Répondre à Angeldark
Hijackthis ne marche pas (application win32 non valide)
Tu as retesté ?
Répondre à Angeldark
Oui, oui, toujours le même message !
En retéléchargeant Hijackthis ?
Répondre à Angeldark
Il y a 2140 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
