Sujet Précédent Sujet Suivant

Beagle ( je crois)

Fermé
alsyia - 23 févr. 2009 à 16:20
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 - 2 mars 2009 à 15:07
Bonjour,
Je crois être infecté par beagle

-plus de son
-antivir= application win 32 non valide
-antivirus qui beuguent ect

Je fais un scan en ligne reste euh 28 h......
J'ai téléchargé ce qui est dit là.
http://www.commentcamarche.net/forum/affich 7363457 virus qui bloque tout moyens de protection

Mais je ne l'ai pas encore fait . Petite précision , j'ai renommé le premier logiciel Elibagla en mldek.exe mais il a disparu ?!

Que dois-je faire ?

8 réponses

Réponse 1 / 8
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 229
23 févr. 2009 à 16:22
Bonjour

Télécharge FindyKill de Chiquitine29 :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

->Enregistre-le sur ton bureau et pas ailleurs !

!! Déconnecte toi et ferme toutes les applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

-> Clique sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.

Tuto : https://www.malekal.com/tutorial-findykill/



--> Double-clique sur le raccourci " FindyKill " qui est sur ton bureau .

-->choisis l'option 1 ( recherche ). Puis laisse travailler l'outil sans rien toucher ...

Une fois terminé, poste le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
alsyia
23 févr. 2009 à 19:11
############################## [ FindyKill V4.717 ]

# User : YVES (Utilisateurs) # FAMILLE
# Update on 17/02/09 by Chiquitine29
# Start at: 19:07:48 | 23/02/2009

# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # NTFS
# D:\ # Disque fixe local (grenier) # NTFS
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque fixe local # NTFS
# J:\ # Disque CD-ROM

############################## [ Processus actifs ]

I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\LEXBCES.EXE
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\netdde.exe
I:\WINDOWS\system32\dllhost.exe
I:\WINDOWS\system32\imapi.exe
I:\Program Files\Java\jre6\bin\jqs.exe
I:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\alg.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\RTHDCPL.EXE
I:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
I:\Program Files\Java\jre6\bin\jusched.exe
I:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
I:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
I:\WINDOWS\system32\lexpps.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Documents and Settings\YVES\Application Data\m\flec006.exe
I:\WINDOWS\system32\wintems.exe
I:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
I:\WINDOWS\explorer.exe
I:\Program Files\Mozilla Firefox\firefox.exe
I:\Program Files\DAP\DAP.EXE
I:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Processus infectieux stoppés ]

"I:\Documents and Settings\YVES\Application Data\m\flec006.exe" (3516)
"I:\WINDOWS\system32\wintems.exe" (2604)

################## [ Fichiers / Dossiers infectieux I:\ ]


################## [ I:\WINDOWS ]


################## [ I:\WINDOWS\system32 ]

Found ! - I:\WINDOWS\system32\mdelk.exe
Found ! - I:\WINDOWS\system32\wintems.exe
Found ! - I:\WINDOWS\system32\ban_list.txt

################## [ I:\WINDOWS\system32\drivers ]

Found ! - "I:\WINDOWS\system32\drivers\down"

################## [ I:\.. Application Data ... ]

Found ! - "I:\Documents and Settings\YVES\Application Data\m\flec006.exe"
Found ! - "I:\Documents and Settings\YVES\Application Data\m\list.oct"
Found ! - "I:\Documents and Settings\YVES\Application Data\m\data.oct"
Found ! - "I:\Documents and Settings\YVES\Application Data\m\srvlist.oct"
Found ! - "I:\Documents and Settings\YVES\Application Data\m\shared"
Found ! - "I:\Documents and Settings\YVES\Application Data\m"
Found ! - "I:\Documents and Settings\YVES\Application Data\drivers"
Found ! - "I:\Documents and Settings\YVES\Application Data\drivers\wfsintwq.sys"
Found ! - "I:\Documents and Settings\YVES\Application Data\drivers\winupgro.exe"
Found ! - "I:\Documents and Settings\YVES\Application Data\drivers\downld"

################## [ Registre / Clés infectieuses ]

Found ! - HKEY_USERS\S-1-5-21-448539723-926492609-682003330-1003\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-448539723-926492609-682003330-1003\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-448539723-926492609-682003330-1003\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-448539723-926492609-682003330-1003\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | german.exe
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | mule_st_key

# Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

################## [ Recherche dans supports amovibles]

# Presence des fichiers :


################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.717 ! ]


Que dois-je faire ensuite ?
PS: la , j'ai redémarré et le virus c'est provisoirement arrete.SOn revenu ect. Mais les antivirus sont toujours down.
0
Réponse 2 / 8
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 229
23 févr. 2009 à 19:14
Important :

Branche toutes tes unités externes au PC ( DD externes, clé USB, lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manip ...


Ferme toutes les applications en cours !

Relance FindyKill :

-> choisis cette fois-ci l'option 2 (suppression).

/!\ ton PC va redémarrer de lui même , c'est normal !... Laisse travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .

Note : lors du message d'avertissement , clique sur " Ok " .

--> Poste le nouveau rapport FindyKill.txt qui est généré.

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )


PS : Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valide .
0
Réponse 3 / 8
alsyia
23 févr. 2009 à 19:25
############################## [ FindyKill V4.717 ]

# User : YVES (Utilisateurs) # FAMILLE
# Update on 17/02/09 by Chiquitine29
# Start at: 19:19:36 | 23/02/2009

# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # NTFS
# D:\ # Disque fixe local (grenier) # NTFS
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque fixe local # NTFS
# J:\ # Disque CD-ROM

############################## [ Active Processes ]

I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\LEXBCES.EXE
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\netdde.exe
I:\WINDOWS\system32\dllhost.exe
I:\WINDOWS\system32\imapi.exe
I:\Program Files\Java\jre6\bin\jqs.exe
I:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\alg.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\RTHDCPL.EXE
I:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
I:\Program Files\Java\jre6\bin\jusched.exe
I:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
I:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
I:\WINDOWS\system32\lexpps.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
I:\Program Files\DAP\DAP.EXE
I:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files / Folders I:\ ]


################## [ I:\WINDOWS ]


################## [ I:\WINDOWS\system32 ]

Deleted ! - I:\WINDOWS\system32\mdelk.exe
Deleted ! - I:\WINDOWS\system32\wintems.exe
Deleted ! - I:\WINDOWS\system32\ban_list.txt

################## [ I:\WINDOWS\system32\drivers ]

Deleted ! - "I:\WINDOWS\system32\drivers\down"

################## [ I:\.. Application Data ... ]

Deleted ! - "I:\Documents and Settings\YVES\Application Data\m\flec006.exe"
Deleted ! - "I:\Documents and Settings\YVES\Application Data\m\list.oct"
Deleted ! - "I:\Documents and Settings\YVES\Application Data\m\data.oct"
Deleted ! - "I:\Documents and Settings\YVES\Application Data\m\srvlist.oct"
Deleted ! - "I:\Documents and Settings\YVES\Application Data\m\shared"
Deleted ! - "I:\Documents and Settings\YVES\Application Data\m"
Deleted ! - "I:\Documents and Settings\YVES\Application Data\drivers\wfsintwq.sys"
Deleted ! - "I:\Documents and Settings\YVES\Application Data\drivers\winupgro.exe"
Deleted ! - "I:\Documents and Settings\YVES\Application Data\drivers\downld"
Deleted ! - "I:\Documents and Settings\YVES\Application Data\drivers"

################## [ Registry / Infected keys ]

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro

################## [ Cleaning Removable drives ]

# Deleting files :


################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

9d5fb751 I:\Documents and Settings\YVES\Application Data\drivers\winupgro.exe
ab934c2f0f137d57229ecb4de4b78d10 I:\Documents and Settings\YVES\Application Data\drivers\winupgro.exe


################## [ ! End of Report # FindyKill V4.717 ! ]

Voilà.
Ps: Il y a deux clés de registre dont il m'a dit " chemin invalide" au nettoyage.
0
Réponse 4 / 8
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 229
23 févr. 2009 à 19:27
Regarde si tu arrives à réinstaller ton antivirus.
0
alsyia
24 févr. 2009 à 12:07
Avast réinstallé , ca a l'air de marcher. Je peux lancer la recherche de crack de findykill ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 229
24 févr. 2009 à 12:31
Oui si tu veux et l'idéal serait ensuite de supprimer ces cracks car ce sont eux qui amènent bagle.
0
Réponse 6 / 8
alsyia
2 mars 2009 à 13:48
Bon , je vais le fire alors. Merci pour tout! PS: le logiciel mldek.exe qui avit disparu (cf prmeier post) est réapparu.
Dsl de n'avoir pas répondu plus tôt.
0
Réponse 7 / 8
alsyia
2 mars 2009 à 15:06
Bon , je l'ai fait , mais il m'a trouvé une centaine de crack , qui n'étaient pas vraiment des cracks , mais des fichiers crack! DAns certains (achetés) il m'en a trouvé alors .....
0
Réponse 8 / 8
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 229
2 mars 2009 à 15:07
Tu peux faire un nettoyage général pour éliminer d'éventuels résidus :

Imprime ces instructions ou sauvegarde les sur ton Bureau car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

Dans l'onglet analyse, vérifie que "Exécuter un examen rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter.

Poste le rapport sur le forum.
0

Discussions similaires

Scan trop grand !
Juliux -
Juliux -

2 réponses
SYTYCD / Tu crois que tu sais danser?
Pauline* -
PLopp -

6 réponses
Je veux retrouver mon frère
Rodny -
cece -

11 réponses
pacale le grand frere 1e mars 2010
sandriannemoikikou -
sandriannemoikikou -

1 réponse
je crois que j'ai fait une boulette
marmotte66 -
balltrap34 -

4 réponses