Virus difficile a identifier, peut etre une nouvelle variante Bagle?

Logiciel & apps Logiciel Général
1

Bonjour,
depuis quelques jours deja j’essaie de remettre a flot l’ordinateur de mon beau-pere…
Voici l’historique, aussi complet que je puisse le faire…
Il s’est appercu que son antivirus ne marchait plus.
Il a procede a un scan online de chez Parologic, qui lui a trouve un virus Baggle.GI, et un fichier wintems.exe dans les fichiers systemes. Malheureusement, il n’a pas trop l’habitude et il n’a pas sauve le log.
Ensuite il a fait appel a moi, et j’ai vu que Avast et AVG ont ete desactive, et qu’il est impossible d’installer d’antivirus (j’ai essaye avec Norton et Trend Micro), et quand on re-installe Avast, lors de son lancement, on obtient “ashAvast.exe not a valid win32 application”.
Bref, jai execute sur sa machine FxBaggle de symantec, qui n’a rien trouve.
Quand je lance F-Baggle de F-secure, le programme se ferme purement et simplement.
Quand j’execute Antibaggle-FR de Bitdefender, j’ai tout de suite l’ecran bleu de la mort (traduction litteraire, je sais).
Apres avoir desintalle, re-installe l’adapteur Wifi, j’ai finalement pu me connecter a internet, et j’ai runee un scan online de chez Trend-Micro. Je n’ai pas non plus le log: je ne pouvais plus rester trop longtemps et j’ai demande a mon beau-pere de laisser faire.
Il m’a juste sauve un scrennshot disant que worm_Bagle.KO a ete detecte, mais qu’il n’a pas pu le nettoyer entierement.

Du coup je me rends sur leur site, j’essaie de faire un nettoyage manuel, le probleme c’est les symptomes de ce virus ne correspondent pas: le fichier des hosts a l’air clean, je n’ai pas trouve les fichiers sysformat.exe…

JE me dis alors que c’est peut-etre une autre variante, qui est detecte a tort…
Ah, autre details, je voulais essayer de netoyer le registre avec Eusing, mais le programme se lance et se ferme de suite…

En desepoir de cause, je me suis renseigne sur tous les process qu’il y a sur l’ordi, et j’ai trouve un coupable:
wintems.exe que par contre je n’arrive pas a tuer (premiere fois que je vois qu’on ne peux pas tuer un process)… Et dont je ne connais pas la source.
Ensuite avec Blacklight de F-secure, il me trouve hldrrr.exe, que j’ai essaye de renommer, mais avec un second scan, il est tjrs la…

Donc je me tourne vers vous, en esperant que vous pourrez m’aider.
J’ai lance HJT, mais meme lui me donne des erreurs lors du scan, vous treouverez ci-dessous les messages d’erreur et le scan, que j’imagine peut-etre incomplet si il y a eu des erreurs.

Ah, derniere petite surprise du virus je pense: je ne peux pas demarrer en mode sans-echec: il s’arrete a la ligne BTHIDMGR.SYS.

Voila, j’espere que vous pourrez m’aider, deja a indentifier le virus, et a l’eradiquer, encore que je commence a croire qu’il est vraiment tenace celui-la…

*****************************1 er message d’erreur

An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=load)
Error #5 - Invalid procedure call or argument

Please email me at merijn@spywareinfo.com, reporting the following:

  • What you were trying to fix when the error occurred, if applicable
  • How you can reproduce the error
  • A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 7.0.5730.13
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan.

***********************2eme message d’err
An unexpected error has occurred at procedure: modMain_CheckOther1Item()
Error #5 - Invalid procedure call or argument

Please email me at merijn@spywareinfo.com, reporting the following:

  • What you were trying to fix when the error occurred, if applicable
  • How you can reproduce the error
  • A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 7.0.5730.13
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan.

****************************************scan HJT
Logfile of HijackThis v1.99.1
Scan saved at 22:13:31, on 21.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wgp.exe
C:\Program Files\SMC\EZ Connect N Draft 11n Wireless USB2.0 Adapter\SMCWUSBS-N.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\PrivacyEraser Computing\Free Internet Eraser\InternetEraser.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/sea rch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/sea rch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/http://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CDNSCacheObj Object - {376892AE-1825-4E5F-9F85-23F9640051CC} - (no file)
O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - (no file)
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - (no file)
O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe”
O4 - HKLM…\Run: [HP Software Update] “C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe”
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe”
O4 - HKLM…\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,BluetoothAuthenticationAgent
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”
O4 - HKLM…\Run: [WinGuard Pro] C:\WINDOWS\system32\wgp.exe
O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”
O4 - HKLM…\Run: [Utility] C:\Program Files\SMC\EZ Connect N Draft 11n Wireless USB2.0 Adapter\SMCWUSBS-N.exe -h
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [Yahoo! Pager] “C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe” -quiet
O4 - HKCU…\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - HKCU…\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU…\Run: [Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
O4 - HKCU…\Run: [Free Internet Eraser] C:\Program Files\PrivacyEraser Computing\Free Internet Eraser\InternetEraser.exe /Startup
O4 - HKCU…\Run: [info base] C:\DOCUME~1\Gyuri\APPLIC~1\SURFHT~1\antewaydelete.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe
O4 - Startup: Y’z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe
O4 - Startup: Y’z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

MERCI BEAUCOUP.
BONNE JOURNEE.

2

Je te conseille de faire tes scans online en mode sans echec avec prise en charge réseau (sous réserve que tu sois connecté a internet avec du RJ45, je sais pas si le wifi marchera, j’en ai pas^^

3

bonsoir,
j’ai vérifié les processus qui me paraissait douteux mais difficile de détecter quelquechose hors mode sans échec :o(
tu peux sauvegarder rapidement les données tant que tu as encore accés.
ensuite avec le cd de windows xp tu peux essayer de procéder à une réparation,
l’ultime solution est la suppression par le vide : un bon formatage !
mais scanne aussi tes données sauvegardées.
a+

4

Bonsoir,

Compte tenu de l’ampleur de la tâche, je pense comme jarbin. Une bonne réinstallation pourrait être aussi rapide que le temps que tu perds et que tu vas continuer à perdre à solutionner le pb.

Format c:\ et réinstallation…

@+

5

passe ton dd a lantivirus partir d’un autre os c’est plus efficace

6

Bonjour a tous, et tout d’abord Merci…
Et bien je pense que je vais d’abord essayer de retablir le mode sans echec (ce qui n’est pas possible a l’heure actuelle, je le repete) en essayant la methode de darksky1985.
Avec de la chance, je pourraisdeja demmarrer en mode sans echec et ensuite lancer un antivirus.

Sinon, effectivement, j’avais penser brancher le disque dur a partir d’un autre ordi.

Ensuite, si ca n’avance pas, je ferais une reparation complete de windows, voire un reformatage si ca ne suffit pas…

Merci encore.
Bonne journee.

7

Bonjour.
Juste pour dire que j’ai finalement re-installe Windows sans formater le disque dur, et envoye un scan Avast.
Depuis plus de probleme…
J’aimerais clore le sujet, mais j’ai pas encore trouve comment.
Merci a tous.