Discussion :

[Leishmaniose]

Salut tout le monde,

Tout d'abord, je ne sais pas si c'est l'endroit pour poster mon message ou pas mais vu mon état actuel, je vous prie d'être compréhensifs.

Voila comme l'indique le titre de ce post, mon Win XP Media Center 2005 version 5.1, a été infecté par un W32/Bagle.gen qui a réussi à briser toutes les défenses McAfee 2008 retail. Aucune application du style Spyhunter ou encore Ad Aware n'a permis de déloger ce virus en plus du fait que ce virus ne permet pas l'installation de certains programmes comme Spy Doctor ou SpyBot, après installation le démarrage de ces programmes provoque une erreur avec un message du style : ceci n'est pas une application win32 valide !!!

Une autre particularité du W32/Bagle.gen c'est de désactiver l'antivirus installé et d'empêcher sa désinstallation ou l'installation de tout autre antivirus. Pour mon cas, le McAfee me signale que mon ordinateur n'est pas correctement protégé et pas moyen de désinstaller ce McAfee puisque d'une part il ne figure plus dans le liste Ajout/suppression de programmes et d'autre part l'outil que propose gratuitement McAfee qui est appelé MCPR.exe et qui est sensé désinstallé de force tout le McAfee, ne réussi pas à le faire, il produit un message d'erreur qui témoigne de la puissance du W32/Bagle.gen... Le message est le suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

CLEANUP FAILED - Cleanup is already running !!!

ce qui est absolument faux !

Le W32/Bagle.gen empêche également la réparation du Win XP. En bootant sur le CD de Win XP, le chargement des fichiers commence normalement et se termine par un message d'erreur écris en blanc sur fond bleu (vous voyez le genre). En plus, j'ai essayé comme dernier recours, un upgrade de Win XP... L'upgrade n'a aucunement résolu le problème, le virus est toujours là par contre j'ai perdu toutes les mises à jours Win XP (mises à jour qui remontent à au moins une année et demi), j'ai retrouvé alors l'interface basique du Media Center avec IE 6 et Media player 10, etc.

Je ne vous cache pas qu'à ce stade, je n'ai plus confiance en moi quant à la décision à prendre, c'est pour cette raison que je suis sur le developpez. En fait, je projette de tout formater à l'ancienne méthode autrement dit un bon vieux

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

format C:

à partir de l'invite de commande puis un boot sur le CD Win XP pour tout réinstaller sachant que je commencerai par sauvegarder tout mes fichiers sur un DD externe vu que j'accède encore à l'interface de windows [ce qui est quasiment le seul point positif avec ce virus]. J'arrive donc à ma question : Ce plan est il bon ? ou est ce que quelqu'un propose un truc meilleur ?

Personnellement, je ne vois aucune autre alternative mais qui sait...

Merci.

[rlgrand]

Avant d'arriver à cette solution, essaie le logiciel utilisé pour ce virus dans les forums : EliBagla

http://www.zonavirus.com/datos/desca...5/elibagla.asp

téléchargement en bas de page : descargar
Tu trouveras certainement un tuto sur Internet

Ce genre d'infection peut être effectivement assez coriace. Si tu utilises cet outil, il te faudra plusieurs fois le passer. cela ne te coute rien d'essayer.
Essaie en mode sans échec, sinon tu le passes en mode normal. Mais attention car si le fichier safeboot est touché, tu n'auras plus accès au mode sans échec. N'insiste pas car sinon ton PC va faire des redémarrages en boucle.

Autre chose, si tu sauvegardes tes fichiers sur DD externe, il est probable qu'une partie de ces fichiers soit infecté.
Pour les mises à jour de XP, le SP3 reglera le problème.

tiens nous au courant.

salut

[Leishmaniose]

Salut rlgrand,

A vrai dire ta solution semble fonctionner parfaitement. Franchement je suis bluffé. Pour dire toute la vérité, j'ai passé maintenant plus de 36 heures sans dormir et je ne suis pas dans un état pour certifier l'élimination complète du problème, par contre voila les dernières lignes du fichier généré par EliBagle :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
	  Mon May 19 23:47:53 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\AHMED\APPLICATION DATA\M\FLEC006.EXE --> Eliminado Bagle.dldr
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Mon May 19 23:48:34 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANOTIF.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\downld\101609.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\102250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\109000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\109203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\116921.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\119453.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\123093.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\123703.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\131500.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\135453.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\139468.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\141218.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\145218.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\14748765.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\152843.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\153265.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\164734.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\170750.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\177750.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\179343.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\184703.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\188609.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\189093.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\194093.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\205593.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\282468.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\29718765.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\70500.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\71203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\84250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\87171.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\87593.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\87625.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\87734.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\94437.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\96109.EXE --> Eliminado Bagle

Nº Total de Directorios:   14903
Nº Total de Ficheros:      176141
Nº de Ficheros Analizados: 15016
Nº de Ficheros Infectados: 39
Nº de Ficheros Limpiados:  39

	  Tue May 20 00:09:21 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   14903
Nº Total de Ficheros:      176103
Nº de Ficheros Analizados: 14977
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

En plus, j'ai remarqué que l'utilisation de mon UC (processeur) est redevenu normale [entre 1 et 5%] avec aucun programme ouvert alors qu'elle atteignait les 60 à 70% !!!

Là je peux dire que je vais passer une nuit tranquille

Demain je vais essayer de remettre mon système à jour pour voir et je te tiendrai au courant. Par contre, est ce qu'un repair de win XP est conseillé dans mon cas [boot sur CD win XP | choix de partition | Repair]??? Parce que je ne te cache pas qu'il y a eu pas mal de chamboulent depuis l'infection !!!

Un grand merci

[rlgrand]

Bonjour, Leishmaniose

Peux-tu me poster l'ensemble du rapport que je jete un coup d'oeil ?
Je te conseillerais un autre outil pour vérification.
Effectivement, le Bagle doit être éliminé ( les drivers du rootkit ont été néttoyés ).

Il serait bon de vérifier si il n'y a pas d'autres infections. Tu pourrais faire un scan en ligne ( kaspersky, Bit defender ou un autre ).

Autre chose, désactive les points de restauration puis réactive les; Tu créeras un point de restauration propre. Important.

Salut et bonne journée.

[Leishmaniose]

Salut,

Voila le contenu complet du fichier C:\InfoSat.txt généré par EliBagle à la fin du scan de mon PC

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
	  Mon May 19 23:37:28 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\AHMED\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

	  Mon May 19 23:38:23 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\AHMED\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

	  Mon May 19 23:45:19 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\AHMED\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

	  Mon May 19 23:45:38 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Mon May 19 23:47:53 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\AHMED\APPLICATION DATA\M\FLEC006.EXE --> Eliminado Bagle.dldr
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Mon May 19 23:48:34 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANOTIF.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\downld\101609.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\102250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\109000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\109203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\116921.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\119453.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\123093.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\123703.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\131500.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\135453.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\139468.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\141218.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\145218.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\14748765.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\152843.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\153265.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\164734.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\170750.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\177750.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\179343.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\184703.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\188609.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\189093.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\194093.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\205593.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\282468.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\29718765.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\70500.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\71203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\84250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\87171.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\87593.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\87625.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\87734.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\94437.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\96109.EXE --> Eliminado Bagle

Nº Total de Directorios:   14903
Nº Total de Ficheros:      176141
Nº de Ficheros Analizados: 15016
Nº de Ficheros Infectados: 39
Nº de Ficheros Limpiados:  39

	  Tue May 20 00:09:21 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   14903
Nº Total de Ficheros:      176103
Nº de Ficheros Analizados: 14977
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Actuellement, je suis entrain de me documenter sur la façon de réinstaller mon système proprement. En fait, j'ai un Dell Dimension E520 fourni avec un Windows XP Media Center 2005 mais sans CD Windows et il paraîtrait qu'il existe une partition cachée sur mon disque dûr qui contient toutes les informations, données et outils pour me remettre la machine à l'état où elle était à sa sortie d'usine !!! Je dois donc me documenter pour ne pas perdre ma licence XP dans le cas où je décide de formatter la machine, chose que je pense sérieusement faire. Enfin, si le truc sur le site Dell me paraît assez solide...

J'attends tes conseils pour le check up complet de mon PC...

Encore un grand merci - t'es vraiment un

@+

[rlgrand]

Salut, Leishmaniose

L'explication pour ton PC qui tournait comme un moulin en folie :
Bagle avait infecté IAANOTIF.EXE, procesus d'intel :

http://www.processlibrary.com/fr/dir...files/iaanotif

Tu as été perspicace et je te comprends.
On est vener dans ce cas.
Chanceux aussi car il est rare que cet outil suffise à lui seul.

ce virus se propage de deux manieres : par email ou en téléchargeant des cracks par P2P.
C'est même cette deuxième manière qui est la plus courante.
As-tu ouvert un message sans objet avec un corps de message très simple, du genre "texte" ou "thank you !!!Passwrd:" ? Si tu le retrouves dans ta messagerie, supprime-le.
Sinon, si tu as des cracks, je te conseille de les supprimer au plus vite.

C'est vrai que si tu trouves les infos pour remettre à plat ton PC, la question du nettoyage ne se pose pas.

Sinon, on va faire les différentes choses suivantes :
- le point de restauration, tu l'as fait ?
- commencer par les sécurités ( antivirus, parefeu, antispyware ). Un gros cadenas peut aussi être envisagé.
- vérifier si il n'y a pas d'autres infections. Il y aura plusieurs rapports à poster. Prescription du médecin : cure de sommeil et vitamines.
- restaurer les paramètres de la BDR, elle a été modifiée sans doute.
- nettoyage en profondeur : tu dois connaitre ces outils. Ou bien eau de javel et huile de coude.
- ...
On en discutera au fur et a mesure. J'imagine que tu n'es pas manchot. Excuse pour le jeu de maux.

Commençons par ton antivirus. Comment va ton ami Macaffe ?
Il fait quoi au juste. Antivirus et ???
Pour les protections, As-tu ce qu'il te faut ? Parefeu, antispyware ( real time ? ).

Sinon, pour commencer, et si tu le désires ( ou en MP ), poste moi un rapport de Hijackthis :

http://www.trendsecure.com/portal/en...ols/hijackthis

scan et logfile.
L'analyse dira si d'autres infections sont visibles.

A+

[_solo]

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\AHMED\APPLICATION DATA\M\FLEC006.EXE --> Eliminado Bagle.dldr

tu aurait pas fait une sauvegarde des ses fichiers par le plus grand des hazards , javais jamas vu cette version de bagle avec rootkit sous forme de driver en plus ...wouaaaaaaaaaaououoow!

[rlgrand]

salut,

je pense que ce n'est pas trop compliqué de trouver ça.
Tu télécharges un crack de logiciel par P2P.
Tu finiras bien par avoir ce genre de M....
Après, c'est risqué car la désinfection peut être très compliqué.
Comme disait leshmanoise, plus d'antivirus, le mode sans échec sans doute out, voir même l'outil utilisé qu'il faut renommer pour éradiquer le bagle.
Et il y a encore d'autres surprises.

Ca me tente moyennement.

[Leishmaniose]

Salut,

Bon tout d'abord, mia coulpa

Je me suis fait comme un rat !!! Mais ça c'est la fatigue... D'ailleurs je l'avoue, en plus d'avoir infecter mon PC en installant moi même un virus dessus, j'ai terminé par casser toute ma piole à cause de cette énorme bêtise

En effet, mon bagle est un crack que j'ai eu via le e-mule (p2p par excellence... quoi que !!!). Ce n'est pas parce que je suis un fun des cracks qui plus est, la licence du programme en question ne coûte en tout que 11 € ! Le seul truc qui m'importait à ce moment c'était de dormir un peu (après 2 nuits blanches, c'est normal) et je voulais laisser ce programme tourner avant d'aller me coucher et vu mon état, j'ai cru comprendre que la licence sera envoyée après 24 h du payement, du coup je me suis tourné vers le crack... En plus, et à ma grande surprise, après le constat de l'infection, j'ouvre ma boîte e-mail pour trouver la licence authentique que je viens d'acheter et qui m'a été livré tout de suite après le virement...

==> J'ai raté une bonne nuit de sommeil.
==> J'ai foiré mon PC en installant un crack pendant que l'original était dans ma boîte mail !!!

du coup j'ai cassé ma piole vu que j'étais

Moralité : "Se coucher tard... Nuit !" Raymond DEVOS

Çà, c'était pour la mia coulpa.

Bon, j'ai fait un scan avec registrybooster que j'ai trouvé sur le lien proposé par rlgrand et qui est le suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://www.processlibrary.com/fr/dir...files/iaanotif

et voici le verdict :

610 entrées de registre invalides

Encore pas moyen de réinstallé McAfee Security Center 2008 retail

250 erreurs de registres corrigés avec Registry Mechanic de PCTools ce qui est très loin des 610 entrées invalides détectés par RegistryBooster

Voila le log produit par HijackThis...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:21:57, on 21/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\Program Files\Advanced Email Extractor PRO\AeePro.exe
C:\Program Files\Microsoft Office\Office12\EXCEL.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.hexabyte.tn
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.finderg.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\Ahmed\LOCALS~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Advanced Email Extractor - res://C:\Program%20Files\Advanced%20Email%20Extractor%20PRO\AeePMsie.dll/page.html
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scan link with AEE - res://C:\Program%20Files\Advanced%20Email%20Extractor%20PRO\AeePMsie.dll/link.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Email Extractor - {AFA7DB99-3E4D-4396-94F8-B0B135BCB472} - C:\WINDOWS\system32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Advanced Email Extractor - {AFA7DB99-3E4D-4396-94F8-B0B135BCB472} - C:\WINDOWS\system32\shdocvw.dll (HKCU)
O15 - Trusted Zone: http://*.mcafee.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - 
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1170276768687
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 10262 bytes

C'est pas terrible hein !!! et vu le "ça me tente moyennement" de rlgrand !!! Je sens que la réinitialisation du PC va être le meilleur choix à faire.

Je ne sais pas encore, mais j'ai appris une chose... il faut prendre des décisions lorsqu'on est calme, du coup je me laisse le temps jusqu'à la fin de cette semaine avant de décider définitivement du sort de mon PC...

J'attends vos feedback avec impatience, et encore merci, modèle géant !

@+

[rlgrand]

Bonjour, Leshmanoise

On va continuer à nettoyer ton PC avant que tu ne prennes ta décision.
Ce n'est pas les ressources qui manque et la démarche ne peut pas faire de mal. L'homme n'est-il pas un extraterrestre !!!
Tu décides.
Installes Antivir provisoirement.
Ce n'est pas méchant de ma part, mais il y aura encore des mauvaises nouvelles.

Tu vas scanner le fichier iaanotify.exe sur le site virustotal, de confiance. il est utilisé sur les forums :

http://www.virustotal.com/fr/

Si il est infecté, je crois que ce n'est pas la peine de continuer à suer; Il vaudra mieux chercher des solutions pour remettre à plat ton PC.
C'est un fichier natif d'intel.

Pour info, il t'aurait été impossible de sortir un rapport Hijackthis tant que le virus n'était pas viré.

Il y a d'autres M... sur ton PC.

O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\Ahmed\LOCALS~1\Temp\svchost.exe 1

cf

http://www.bleepingcomputer.com/star...exe-15008.html

Je regarde plus attentivement ton rapport demain.

Mais, tu peux déjà passer SDFix.
En gros, voila ce qu'il fait :
Checking Services, Restoring Windows Registry Values, Restoring Windows Default Hosts File, Restoring Missing Security Center Service, Restoring Missing SharedAccess Service
Rebooting...
Service axxxxxx - Deleted after Reboot
Normal Mode: Checking Files, Trojan Files Found, Removing Temp Files...

Tu passes après malwareBytes en mode sans échec. Tu devrais trouver l'info sur le net. Excellent antimalware.
tu connais le site Smartshopper, par hasard.

Tu peux poster toute ou partie de ces rapports.

Je vais me renseigner pour un outil qui réparerait la BDR.

Salut.

[Leishmaniose]

Salut,

Tu vas scanner le fichier iaanotify.exe sur le site virustotal, de confiance. il est utilisé sur les forums...

Je ne trouve ce fichier nulle part

@+

[rlgrand]

salut,

Non, tu fais scanner le fichier qui est sur ta machine.

[Leishmaniose]

re-salut,

C'est ça, je ne trouve pas le fichier iaanotify.exe sur ma machine !!!

J'ai cherché par tout, je ne le trouve pas

C'est possible de me donner le path

@+

[rlgrand]

Excuse, Leishmaniose

c'est le fichier iaanotif.exe, celui qui a été infecté par le bagle.
Sur le site de virustotal, tu peux scanner des fichiers de ton PC pour vérifier si ils sont ou non infectés.

A+/