Mon Pc est totalement infecté AIDEZ MOI SVP.. Résolu/Fermé

Question

Bonjour,
J'ai un très gros problème, mon Pc portable est totalement infecté depuis hier soir... Alors que j'avais avast comme antivirus un virus est rentré! depuis je ne peux plus me servir d'aucuns antivirus, je n'arrive meme pas a les installer.... Je ne peux donc meme pas faire d'analyse... C'est pareil pour les logiciels de réparation, impossible de les téléchharger!! Meme mon centre sécurité windows est totalement bloqué!!!
Aidez moi s'il vous plait je ne sais plus du tout quoi faire....
Merci

aivliz · Answer

s'il vous plait je ne sais plus quoi faire.....

aivliz · Answer

si aucun de vous ne vois quoi faire dites le moi au moins svp.... Parce que j'ai le moral à zéro....

archet9 · Answer

Hello

Virus Bagle
Télécharges FindyKill de Chiquitine29 : 

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe 

->Enregistres le sur ton bureau et pas ailleurs ! 

!! Déconnectes toi et fermes toute applications en cours !! 
 

-> Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation. 

--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau . 

-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ... 

Une fois terminé, postes le rapport FindyKill.txt qui est généré ... 

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt ) 

a+

aivliz · Answer

je viens d'essayer et le virus ne me laisse meme pas telecharger... ça bloque directement...

minorswing · Answer

Bonjour, juste un petit truc. Avec Vista, désactiver le controle d'utilisateur peut regler le souci d'installation.

aivliz · Answer

merci je vais essayer

aivliz · Answer

je n'arrive pas a desactiver comment dois je faire?

aivliz · Answer

et bien non j'ai désactiver et ça me bloque quand meme les telechargements... Je sais pas quel virus j'ai choppé mais là je crois que je suis dans la m....

archet9 · Answer

Essayes ceci:
clic sur le len findykill:
http://sd-1.archive-host.com/membres/up/116615172019703188/F­indyKill.exe 
choisis  "enregistrer" et remplace ds " NOM du fichier" FindyKill.exe par aivliz.exe  et continue
comme d'habitude...

a+

aivliz · Answer

le lien ne fonctionne pas ça me met objet non trouvé...

archet9 · Answer

clic sur le lien du message n° 3
A+

aivliz · Answer

quand je clique une fenêtre tente de s'ouvrir puis s'arrête et une petite fenetre me marque: les paramètres sécurité ne vous permettent pas d'ouvrir ce fichier.....

archet9 · Answer

Quand tu clics sur quoi?
a+

aivliz · Answer

sur le lien. que je clique ou que je le copie et que je le colle ça me marque la meme chose... ça n'arrive pas à se lancer...

aivliz · Answer

meme pas d'analyse possible... Je crois que je vais pèter un cable.....

archet9 · Answer

Essayes en mode "sans echec avec prise en charge reseau"
a+
--

aivliz · Answer

Voici mon rapport: (je suis toujours en mode sans echec reseau)



############################## [ FindyKill V4.720 ] 

# User : SYSTEM () # PC-DE-SYLVIA
# Update on 12/03/09 by Chiquitine29
# Start at: 16:23:15 | 15/03/2009

# Intel(R) Pentium(R) Dual  CPU  T3200  @ 2.00GHz
# Microsoft© Windows VistaT dition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 223,59 Go (135,9 Go free) # NTFS
# D:\ # Disque fixe local # 9,29 Go (1,28 Go free) [PRESARIO_RP] # NTFS
# E:\ # Disque CD-ROM
 
############################## [ Processus actifs ] 
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\wbem\wmiprvse.exe
 
################## [ Fichiers / Dossiers infectieux C:\ ] 
 
 
################## [ C:\Windows ] 
 
 
################## [ C:\Windows\system32 ] 
 
Found ! - C:\Windows\system32\mdelk.exe 
Found ! - C:\Windows\system32\wintems.exe 
Found ! - C:\Windows\system32\ban_list.txt 
 
################## [ C:\Windows\system32\drivers ] 
 
Found ! - "C:\Windows\system32\drivers\down" 
 
################## [ C:\.. Application Data ... ] 
 
Found ! - "\Users\Sylvia\AppData\Roaming\m\flec006.exe" 
Found ! - "\Users\Sylvia\AppData\Roaming\m\list.oct" 
Found ! - "\Users\Sylvia\AppData\Roaming\m\data.oct" 
Found ! - "\Users\Sylvia\AppData\Roaming\m\srvlist.oct" 
Found ! - "\Users\Sylvia\AppData\Roaming\m\shared" 
Found ! - "\Users\Sylvia\AppData\Roaming\m" 
Found ! - "\Users\Sylvia\AppData\Roaming\drivers" 
Found ! - "\Users\Sylvia\AppData\Roaming\drivers\srosa2.sys" 
Found ! - "\Users\Sylvia\AppData\Roaming\drivers\wfsintwq.sys" 
Found ! - "\Users\Sylvia\AppData\Roaming\drivers\winupgro.exe" 
Found ! - "\Users\Sylvia\AppData\Roaming\drivers\downld" 
 
################## [ Registre / Clés infectieuses ] 
 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA  
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S 
 
# Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1
 
################## [ Recherche dans supports amovibles] 
 
# Presence des fichiers :  

 
################## [ Registre / Mountpoint2 ] 
 
# -> Not found ! 
 
################## [ ! Fin du rapport # FindyKill V4.720 ! ]

archet9 · Answer

Super....
Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d avoir été infectés sans les ouvrir 


Double clic sur le raccourci FindyKill sur ton bureau 

Au menu principal,choisi l 'option 2 (Suppression) 


/!\ il y aura 1 redémarrage, laisses travailler l outils jusqu a l apparition du message "nettoyage effectué" 

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal ! 

ensuite post le rapport FindyKill.txt 

* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque 
* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides 

a+

aivliz · Answer

############################## [ FindyKill V4.720 ] 

# User : SYSTEM () # PC-DE-SYLVIA
# Update on 12/03/09 by Chiquitine29
# Start at: 16:34:47 | 15/03/2009

# Intel(R) Pentium(R) Dual  CPU  T3200  @ 2.00GHz
# Microsoft© Windows VistaT dition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 223,59 Go (135,88 Go free) # NTFS
# D:\ # Disque fixe local # 9,29 Go (1,28 Go free) [PRESARIO_RP] # NTFS
# E:\ # Disque CD-ROM
 
############################## [ Active Processes ] 
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\wbem\wmiprvse.exe
 
################## [ Infected Files / Folders C:\ ] 
 
 
################## [ C:\Windows ] 
 
 
################## [ C:\Windows\system32 ] 
 
Deleted ! - C:\Windows\system32\mdelk.exe  
Deleted ! - C:\Windows\system32\wintems.exe  
Deleted ! - C:\Windows\system32\ban_list.txt  
 
################## [ C:\Windows\system32\drivers ] 
 
Deleted ! - "C:\Windows\system32\drivers\down"  
 
################## [ C:\.. Application Data ... ] 
 
Deleted ! - "C:\Users\Sylvia\AppData\Roaming\m\flec006.exe"  
Deleted ! - "C:\Users\Sylvia\AppData\Roaming\m\list.oct"  
Deleted ! - "C:\Users\Sylvia\AppData\Roaming\m\data.oct"  
Deleted ! - "C:\Users\Sylvia\AppData\Roaming\m\srvlist.oct"  
Deleted ! - "C:\Users\Sylvia\AppData\Roaming\m\shared"  
Deleted ! - "C:\Users\Sylvia\AppData\Roaming\m"  
Deleted ! - "C:\Users\Sylvia\AppData\Roaming\drivers\srosa2.sys"  
Deleted ! - "C:\Users\Sylvia\AppData\Roaming\drivers\wfsintwq.sys"  
Deleted ! - "C:\Users\Sylvia\AppData\Roaming\drivers\winupgro.exe"  
Deleted ! - "C:\Users\Sylvia\AppData\Roaming\drivers\downld"  
Deleted ! - "C:\Users\Sylvia\AppData\Roaming\drivers"  
 
################## [  Registry / Infected keys ]   
 
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA    
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S   
Deleted ! - HKEY_CURRENT_USER\Software\bisoft   
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4   
Deleted ! - HKEY_CURRENT_USER\Software\FirtR   
Deleted ! - HKEY_CURRENT_USER\Software\MuleAppData     
Deleted ! - HKEY_CURRENT_USER\Software\FFC    
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro   
Deleted ! - HKEY_USERS\S-1-5-21-2166470174-1336657637-1376602309-1000\Software\FFC   
Deleted ! - HKEY_USERS\S-1-5-21-2166470174-1336657637-1376602309-1000\Software\MuleAppData   
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"drvsyskit" 
Deleted ! - HKEY_USERS\S-1-5-21-2166470174-1336657637-1376602309-1000\Software\Microsoft\Windows\CurrentVersion\Run\"drvsyskit" 
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"german.exe" 
Deleted ! - HKEY_USERS\S-1-5-21-2166470174-1336657637-1376602309-1000\Software\Microsoft\Windows\CurrentVersion\Run\"german.exe" 
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"mule_st_key" 
Deleted ! - HKEY_USERS\S-1-5-21-2166470174-1336657637-1376602309-1000\Software\Microsoft\Windows\CurrentVersion\Run\"mule_st_key" 
 
################## [ Cleaning Removable drives ]  
 
# Deleting files : 
 
 
################## [ Registry / Mountpoint2 ] 
 
# -> Not found ! 
 
################## [ Searching Other Infections ] 
 
# Références de comparaison Bagle MD5 :

File ... : C:\Users\Sylvia\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : c640c8a3
MD5 .... : e676fac25f2c42b4f7c2626c01fd70ab

Deleted ! : C:\Users\Sylvia\AppData\Local\Temp\Rar$EX00.299\crac.exe
# Taille : 868352 # MD5 : E676FAC25F2C42B4F7C2626C01FD70AB

 
################## [ ! End of Report # FindyKill V4.720 ! ]

archet9 · Answer

*) Réinstalles ton antivirus et toute tes protections (BAGLE a du les shooter...)
*) Télécharges RSIT (de random/random) sur le bureau ici : 
http://images.malwareremoval.com/random/RSIT.exe 

- Double clique sur RSIT.exe qui est sur le bureau 
- Clique sur Continue dans la fenêtre 
- RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence 
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l’analyse 

Les rapports sont dans le dossier ici C:\rsit 

a+

aivliz · Answer

ça recommence je n'arrive pas a telecharger avast ça me remet la fenetre : les parametres de securité ne permettent pas d'ouvrir cette application.

Faut-il ke je me remette en mode sans echec reseau?

aivliz · Answer

et bah.... Je sais pas comment je vais faire tous mes écrits de diplome sont bloqués... j'en reviens pas...

aivliz · Answer

voici le resultat:

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1852
Windows 6.0.6001 Service Pack 1

15/03/2009 19:06:36
mbam-log-2009-03-15 (19-06-36).txt

Type de recherche: Examen rapide
Eléments examinés: 51179
Temps écoulé: 2 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Sylvia\Local Settings\Temp\IXP000.TMP\bbpic.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

archet9 · Answer

OK 
Relances findykill option 1 en mode normal stp...
a+

aivliz · Answer

je suis repassée en mode normal!
et là ça y est sans que je retourne sur findykill, avast s'est remis à fonctionner et mes dossiers se sont débloqués!!!
Crois tu qu'avast est un bon anti virus?? et dois je laisser malwarebytes sur mon ordi ou non??
En tout cas je te remercie vraiment!!! Je n'y serais jamais arrivée sans ton aide!!!

archet9 · Answer

Crois tu qu'avast est un bon anti virus?? --
Non c'est une vrai passoire...:
http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/avast-protege-sujet_44722_1.htm
Mais en l'occurence meme avec le meilleurs antivirus tu aurais été infecté!!!
Cracks et keygens aboutissent inéluctablement 1 jour ou l'autre a ce type d'infections...
(et encore tu t'en tires bien) tu aurais pu tout perdre et bien + encore...
As-tu vu que findykill a supprimer le crack responsable de ton infection?

Deleted ! : C:\Users\Sylvia\AppData\Local\Temp\Rar$EX00.299\crac.exe 

Je ne suis pas 1 censeur, chacun fait ce qu'il veut de son pc....mais bon, c'est une bonne leçon !!!

Pour Malwarebytes tu le gardes et tu n'hesites pas a t'en servir...
Pour desinstaller findykill : Relances le et choisis option 3
a+