DIID,
désolé, je n'ai aps vu ton mail pour cause de reboot scannage, mais voici de nouveaux éléments qui tu auras au réveil car tu dois à présent dormir du sommeil du juste.
Premièrement, concernant ton mail, voici les tâches effectuées :
Sinon : Vire les fichiers temp de :
- C:\TEMP --> OK
- C:\WINDOWS\TEMP --> OK
- C:\Documents And Settings\Session de l'utilisateur\Local Settings\Temp(orary internet files) --> OK
- Puis vider la Corbeille <-- de temps en temps :D --> OK
- Démarrer> Exécuter> taper : CleanMgr et valider pour les supprimer. --> OK
A présent, je constate ironiquement que l'on converge même les mêmes pistes, je m'explique : lors de mon reboot, windows a du fermer un prog hdlrrr.exe, ce qui m'a interpellé. J'ai stoppé le reboot, suis allé voir dans les process : RIEN.
Je lance une recherche dans l'explorateur : RIEN
Tiens tiens, vraiment bizarre. je tape dans google hdlrrr.exe et ... bingo! à priori un virus.
En googlisant, j'installe Pocket killbox ( qui au passage m'aura permis de virer un fichier fun.xls.exe qui trainait sur une clé USB depuis des mois et que je n'arrivais pas à virer, malgré les conseils trouvés sur let net ... ) ainsi que le soft ... ELIBAGLA ! je n'ai donc pas vu ton mail car occuper à scanner, erradiquer, rebooter...
voici donc mes 2 derniers fichiers de log de ELIBAGLA :
Tue Mar 18 02:19:53 2008
EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINNT\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINNT\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINNT\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINNT\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Tue Mar 18 02:30:11 2008
EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\!KillBox\POINT32.EXE --> Eliminado Bagle.dldr
C:\Local\ADVANCED WEDDING ORGANIZER 1.EXE --> Eliminado Bagle.dldr
C:\Local\FORSERO_DATA\Downloads\ADVANCED WEDDING ORGANIZER 1.ZIP --> Eliminado Bagle.dldr
C:\RECYCLER\S-1-5-21-854245398-789336058-682003330-1194\DC4.EXE --> Eliminado Bagle.dldr
C:\WINNT\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 6015
Nº Total de Ficheros: 64280
Nº de Ficheros Analizados: 10832
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados: 5
Tue Mar 18 02:47:35 2008
EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Tue Mar 18 02:47:44 2008
EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\!KillBox\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\!KillBox\MDELK.EXE --> Eliminado Bagle
C:\!KillBox\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\!KillBox\WINTEMS.EXE --> Eliminado Bagle
C:\WINNT\system32\drivers\down\160080.EXE --> Eliminado Bagle
C:\WINNT\system32\drivers\down\3366440.EXE --> Eliminado Bagle
C:\WINNT\system32\drivers\down\44546023.EXE --> Eliminado Bagle
C:\WINNT\system32\drivers\down\745290561.EXE --> Eliminado Bagle
C:\WINNT\system32\drivers\down\872744.EXE --> Eliminado Bagle
Nº Total de Directorios: 6024
Nº Total de Ficheros: 64415
Nº de Ficheros Analizados: 10850
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados: 9
A présent les fichiers .exe comme HijackThis ou Combofix.exe ne clignotent plus ( donc ne sont plus appelés par un process ... ) Cependant, je ne peux pas exécuter ces prog ainsi que spybot ou AVG, toujours la même histoire : appli win32 non valide.
Mon virus semblant néanmoins être éradiqué ( même si maintenant il va falloir s'atteler aux dégats ) je reboot afin de :
1) constater si j'ai ou pas accès au mode sans echec
2) lancer un dernier ELIBAGLA ainsi qu'un scan complet via Ad-ware pendant que j'irai roupiller ...
@+ et merci pour ton aide, sincèrement !
F.
