bagle + NTSB investigators flight recorder
Forum Sécurité - Virus : bagle + NTSB investigators flight recorder
Bonjour,
suite a un telechargement stupide, j'ai mon ordi infecté : plus de connexion wifi ni d'antivirus.
apres des recherches sur le forum, j'ai trouvé un coupable "bagle". j'ai utilisé "elibagla" mais il se relance a chaque fois que je redémarre l'ordi .
en plus, un logiciel bizarre " NTSB investigators flight recorder " (pour les boites noires des avions apparemment) se lance a chaque redemarrage de l'ordi. et quand je le ferme il fait redemarrer l'ordi quelques minutes apres.
quelqu'un peut m'aider dans les étapes pour éliminer bagle ? quelqu'un sait il ce qu'est ce logiciel "ntsb"?
merci d'avance
Bonjour,
Télécharge FindyKill (Chiquitine29) sur ton Bureau.
- Lance l'installation du programme en exécutant le fichier téléchargé.
- Double-clique maintenant sur le raccourci de FindyKill.
- Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
- Poste le rapport généré dans ta prochaine réponse.
NB : La barre des tâches et les icônes vont disparaître pendant la recherche.
Répondre à Angeldark
Bonsoir Angeldark
merci de ta réponse.
depuis tout a l'heure j'essaie de scanner avec anti virus, anti spyware et cie et a chaque fois que j veux lancer une de ces applications, le meme message "C:\XXXX.exe n'est pas une application win32 valide".
en attendant Findykill a marché. voici le rapport :
----------------- FindyKill V4.706 ------------------
* User : Tang - BOB
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 27/11/08 par Chiquitine29
* Recherche effectuée à 19:53:47 le 30/11/2008
* Windows XP - Internet Explorer 7.0.5730.13
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Maxtor\Sync\SyncServices.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Mozilla Firefox 3 Beta 2\firefox.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
Found ! [30/11/2008 19:51] - C:\InfoSat.txt
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
Found ! - C:\WINDOWS\prefetch\WINFILSE.EXE-0C5BAB91.pf
Found ! - C:\WINDOWS\Prefetch\KEYHOOK.EXE-1DD8D702.pf
»»»» Presence des fichiers dans C:\WINDOWS\system32
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Found ! [30/11/2008 15:16] - C:\WINDOWS\system32\drivers\srosa.sys
Found ! [30/11/2008 15:16] - C:\WINDOWS\system32\drivers\srosa2.sys
Found ! [22/09/2006 07:09] - C:\WINDOWS\system32\drivers\winfilse.exe
Found ! [30/11/2008 13:33] - "C:\WINDOWS\system32\drivers\downld"
Found ! [30/11/2008 13:33] - C:\WINDOWS\system32\drivers\downld\3838531.exe
Found ! [30/11/2008 13:33] - C:\WINDOWS\system32\drivers\downld\3843390.exe
Found ! [30/11/2008 13:33] - C:\WINDOWS\system32\drivers\downld\3854781.exe
Found ! [30/11/2008 13:33] - C:\WINDOWS\system32\drivers\downld\3857781.exe
Found ! [30/11/2008 13:33] - C:\WINDOWS\system32\drivers\downld\3913000.exe
»»»» Presence des fichiers dans C:\Documents and Settings\Tang\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\Tang\LOCALS~1\Temp
»»»» Presence des fichiers dans C:\Documents and Settings\Tang\Local Settings\Temporary Internet Files\Content.IE5
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
yoamemi=c:\documents and settings\tang\local settings\application data\yoamemi.exe yoamemi
SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
LaunchApp=Alaunch
SynTPLpr=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
AGRSMMSG=AGRSMMSG.exe
SiSPower=Rundll32.exe SiSPower.dll,ModeAgent
SiS Windows KeyHook=C:\WINDOWS\system32\keyhook.exe
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
LManager=C:\Program Files\Launch Manager\QtZgAcer.EXE
eRecoveryService=C:\Program Files\Acer\eRecovery\Monitor.exe
SpeedTouch USB Diagnostics="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
WooCnxMon=C:\PROGRA~1\WANADOO\CnxMon.exe
WOOWATCH=C:\PROGRA~1\WANADOO\Watch.exe
WOOTASKBARICON=C:\PROGRA~1\WANADOO\TaskbarIcon.exe
SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
Omnipage=C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
StandardInstall=
EoEngine=
EoWeather=
SoundMan=SOUNDMAN.EXE
WinampAgent="C:\Program Files\Winamp\winampa.exe"
DAEMON Tools="C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
mxomssmenu="C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe"
KernelFaultCheck=%systemroot%\system32\dumprep 0 -k
!AVG Anti-Spyware="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Launch Tool]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\MsnMsgr]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\patch]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\RtlRack]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\serial]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winfilse]
--------------- [ Registre / Clés infectieuses ] ----------------
Found ! - HKEY_USERS\S-1-5-21-2365070065-1470457422-730549721-1005\Software\Local AppWizard-Generated Applications\MsnMsgr
Found ! - HKEY_USERS\S-1-5-21-2365070065-1470457422-730549721-1005\Software\Local AppWizard-Generated Applications\patch
Found ! - HKEY_USERS\S-1-5-21-2365070065-1470457422-730549721-1005\Software\Local AppWizard-Generated Applications\serial
Found ! - HKEY_USERS\S-1-5-21-2365070065-1470457422-730549721-1005\Software\Local AppWizard-Generated Applications\winfilse
Found ! - HKEY_USERS\S-1-5-21-2365070065-1470457422-730549721-1005\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-2365070065-1470457422-730549721-1005\Software\FFC
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MsnMsgr
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\serial
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
Ndisuio - Type de démarrage = 2
EapHost - Type de démarrage = 3
/!\ Ip6Fw - Type de démarrage = 4
SharedAccess - Type de démarrage = 2
wuauserv - Type de démarrage = 2
/!\ wscsvc - Type de démarrage = 4
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Mountpoint2 ] ----------------
Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e3806cae-7e2f-11db-a8be-00c09ffe1984}\Shell\AutoRun\command
------------------- ! Fin du rapport ! --------------------
Re,
Relance FindyKill en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.
NB : Un redémarrage est parfois nécessaire, FindyKill t'enverra un message si cela est nécessaire.
Répondre à Angeldark
Salut Angeldark !
j'avais utilisé le compte d'un pote pour poser ma question mais voyant que j'ai un nouveau probleme je me suis résolu a créer mon propre compte !
suite a mon infection par bagle et l'étrange logiciel de boites noires d'avions (je me demande vraiment ce que c'est que ce truc ??) j'ai préféré formater et réinstaller windows en me disant que ca serai plus rapide et plus simple et que ce serait l'occasion de repartir du bon pied avec un ordi tout propre !
mais un nouveau probleme est apparu suite a la reinstallation : plus moyen de se connecter au net ! en fait mon portable repere le reseau wifi, se connecte mais impossible d'ouvrir une page.
j'ai appelé mon fournisseur d'acces (vive le contact de proximité et les opératrices de Pékin...) et d'apres eux il y a un programme sur mon ordi qui bloque l'acces a internet (pas de probleme au niveau du réseau ni du matériel).
mais je ne vois pas quel programme, je viens de formater et j'ai juste réinstallé windows xp, les pilotes et quelques logiciels anti spyware, winamp et firefox.
as tu une idée sur la cause du probleme ?
merci d'avance pour ta réponse
(je vais poster ce message sur le forum "internet" )
Chacun son sujet.
Répondre à Angeldark
Il y a 883 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
