Beagle + virus
Résolupatineur44 -
Depuis quelques jours j'ai un Beagle qui m'empêche entre autre d'utiliser mon réseau Wi-Fi. J'ai réussi à remettre le Wi-Fi en modifiant à 3 la valeur de la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Start dans la base de registre. En effet à chaque démarage le Beagle remet la valeur à 4.
J'ai donc pu récupérer mon Wi-Fi mais le Beagle est toujours là et me remodifie continuellement la clé.
J'ai essayé de le supprimer avec Elibagla, F-Secure Blacklight, Combofix et Malwarebytes mais ils n'arrivent pas à le supprimer ou alors je m'y prend mal.
J'ai donc besoin de votre aide !
D'avance merci
Configuration: Windows XP Internet Explorer 7.0
38 réponses
- 1
- 2
Une infection Beagle empêche l’utilisation du Wi‑Fi en modifiant à chaque démarrage la valeur Start de la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio, puis en la rétablissant à 4 au redémarrage.
Plusieurs lecteurs recommandent FindyKill et OTMoveIt3 pour identifier et supprimer les composants malveillants, puis d’effectuer une manipulation en mode administrateur et redémarrer afin que les modifications soient effectives.
Dans les échanges, les utilisateurs rapportent ensuite la génération de rapports et la suppression de fichiers et clés de démarrage, avec des résultats positifs après un nettoyage approfondi et un redémarrage.
En dernier lieu, certains conseils insistent sur la prudence envers les outils non vérifiés et recommandent de s’appuyer sur des procédures éprouvées et des sources fiables pour éviter des redémarrages répétitifs.
-
Bonjour,
--> Télécharge FindyKill (de Chiquitine29) sur ton Bureau.
--> Lance l'installation avec les paramètres par défaut.
--> Double-clique sur le raccourci FindyKill sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci FindyKill et choisir Exécuter en tant qu'administrateur)
--> Au menu principal, choisis l'option 1 (Recherche).
--> Poste le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque. -
Tant mieux.
-
Salut,
Petite intervention,
patineur44, je te conseille extrêmement vivement de te fier aux conseils de Destrio5 et à l'outil de Chiquitine et non pas aux utilitaires bidons anti-bagle qui circulent sur le net.
Sur ce, bonne continuation Willy.
Crapoulou. -
Voici le rapport :
############################## [ FindyKill V4.727 ]
# User : CARRE Florence (Administrateurs) # SALON
# Update on 27/04/09 by Chiquitine29
# Start at: 16:17:39 | 28/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : AntiVirus Firewall 6.15 6.15 [ (!) Disabled | Updated ]
# FW : AntiVirus Firewall 6.15[ (!) Disabled ]6.15
# C:\ # Disque fixe local # 27,95 Go (2,46 Go free) [VAIO] # NTFS
# D:\ # Disque fixe local # 197,95 Go (7,5 Go free) [VAIO] # NTFS
# E:\ # Disque amovible
# F:\ # Disque CD-ROM
############################## [ Processus actifs ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus1.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Sony\HotKey Utility\HKserv.exe
C:\Program Files\Lexmark 6200 Series\ezprint.exe
D:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Sony\HotKey Utility\HKWnd.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## [ Fichiers / Dossiers infectieux ]
Found ! C:\WINDOWS\Prefetch\FLEC006.EXE-3A0F400C.pf
Found ! C:\WINDOWS\Prefetch\MDELK.EXE-0EF461CE.pf
Found ! C:\WINDOWS\Prefetch\WINTEMS.EXE-377E42D4.pf
Found ! "C:\Documents and Settings\CARRE Florence\Application Data\drivers"
################## [ Infected Temp Files ]
################## [ Registre / Clés infectieuses ]
Found ! HKEY_USERS\S-1-5-21-2824591020-838480686-1845456479-1005\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
################## [ Recherche dans supports amovibles]
################## [ Registre / Mountpoints2 ]
# -> Not found !
################## [ ! Fin du rapport # FindyKill V4.727 ! ] -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
perso: telecharge le kit de desinfection de norton sa marche nikel j'ai eu le meme prob
met moi le processeur qui ressemble a: hdlr...exe un truc du genre -
perso j'ai oublier fait: ctrl+alt+suppr et si tu as hldrrr.exe, supprime le
ou alors ya un process qui ressemble a "beagle.exe" ou un truc du genre je sais plus trop -
J'ai ni l'un ni l'autre ;(
La solution de Norton c'est efficace ? Je peux le trouver où ? -
ici: http://www.commentcamarche.net/faq/sujet 2731 virus kit de desinfection pour eradiquer w32 beagle mm bagle
-
-
-
--> Supprime le fichier qui t'a infecté (Crack par exemple).
--> Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir.
--> Double-clique sur le raccourci FindyKill sur ton Bureau.
--> Au menu principal, choisis l'option 2 (Suppression).
/!\ Il y aura un redémarrage, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\
--> Ensuite, poste le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque. -
Voici le rapport :
############################## [ FindyKill V4.727 ]
# User : CARRE Florence (Administrateurs) # SALON
# Update on 27/04/09 by Chiquitine29
# Start at: 16:46:05 | 28/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : AntiVirus Firewall 6.15 6.15 [ (!) Disabled | Updated ]
# FW : AntiVirus Firewall 6.15[ (!) Disabled ]6.15
# C:\ # Disque fixe local # 27,95 Go (2,46 Go free) [VAIO] # NTFS
# D:\ # Disque fixe local # 197,95 Go (7,5 Go free) [VAIO] # NTFS
# E:\ # Disque amovible
# F:\ # Disque CD-ROM
############################## [ Active Processes ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_Task.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## [ Infected Files \ Folders ]
Deleted ! C:\WINDOWS\Prefetch\FLEC006.EXE-3A0F400C.pf
Deleted ! C:\WINDOWS\Prefetch\MDELK.EXE-0EF461CE.pf
Deleted ! C:\WINDOWS\Prefetch\WINTEMS.EXE-377E42D4.pf
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-0F8DCEDB.pf
Deleted ! "C:\Documents and Settings\CARRE Florence\Application Data\drivers"
################## [ Infected Temp Files ]
################## [ Registry / Infected keys ]
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
################## [ Cleaning Removable drives ]
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Qoobox\Quarantine\C\Documents and Settings\CARRE Florence\Application Data\drivers\winupgro.exe.vir
CRC32 .. : 31a82915
MD5 .... : 86ab09b35c73378d1576a587e181a5f4
# -> Nothing found.
################## [ Corrupted files # Re-Installation required ]
C:\HijackThis.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSAV32.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsavstrt.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\QrtFix.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\trace\common\TraceLog.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\6.3.2.123-6588780L\Program\register.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fsbwsys.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\iLaunchr.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\ServiceWrapper-6588780.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\AntivirusFirewall\Common\FSDIAG.exe
C:\Program Files\AntivirusFirewall\Common\FSHOTFIX.EXE
C:\Program Files\AntivirusFirewall\Common\FSLAUNCH.EXE
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\AntivirusFirewall\Common\ILAUNCHR.EXE
C:\Program Files\AntivirusFirewall\Common\POLUTIL.EXE
C:\Program Files\AntivirusFirewall\FSGUI\fsavaui.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsavgui.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsdiagui.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsgetwab.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\AntivirusFirewall\FSGUI\fshelp.exe
C:\Program Files\AntivirusFirewall\FSGUI\fssw.exe
C:\Program Files\AntivirusFirewall\FSGUI\fstlui.exe
C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
C:\Program Files\AntivirusFirewall\FSGUI\quaranti.exe
C:\Program Files\AntivirusFirewall\FSGUI\webfiltr.exe
C:\Program Files\AntivirusFirewall\fsuninst.exe
C:\Program Files\AntivirusFirewall\FWES\program\fsdfwd.exe
C:\Program Files\AntivirusFirewall\TNB\tnbutil.exe
C:\Program Files\Fichiers communs\Logitech\QCDRV\BIN\Update.exe
C:\Program Files\Mozilla Firefox\uninstall\helper.exe
C:\Program Files\Sonic\RecordNow!\Launch.exe
################################### [ Cracks / Keygens / Serials ]
# -> Nothing found !
################## [ ! End of Report # FindyKill V4.727 ! ] -
--> Réinstalle ton antivirus/firewall F-Secure.
--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)
--> Clique sur Continue à l'écran Disclaimer.
--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
Note : les rapports sont sauvegardés dans le dossier C:\rsit. -
-
Tu as quel antivirus selon toi ?
-
Aucun depuis quelques semaines car j'avais l'antivirus d'Orange mais j'ai arrêté l'abonnement.
Je fais quoi ? -
L'antivirus d'Orange, c'est F-Secure en fait.
--> Désinstalle F-Secure.
--> Installe Antivir et mets-le à jour.
--> Double-clique sur l'icône d'Antivir (Parapluie) dans la barre des tâches.
--> Dans Antivir, choisis Outils puis Configuration.
--> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages.
--> Fais un scan complet et poste le rapport.
Tutoriel sur Antivir -
Ca va faire 2 heures que j'ai lançé le scan Antivir mais ça n'en ait qu'à 20%. C'est normal ?
-
"Ca va faire 2 heures que j'ai lançé le scan Antivir mais ça n'en ait qu'à 20%. C'est normal ?"
---> Ça dépend de la puissance du PC, des données qu'il y a sur le disque dur, du nombre de disques durs, etc. -
--> Télécharge Lop S&D (par Eric_71 & Angeldark) sur ton Bureau.
--> Double-clique dessus pour lancer l'installation.
--> Puis double-clique sur le raccourci Lop S&D présent sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci de Lop S&D et choisir Exécuter en tant qu'administrateur)
--> Sélectionne la langue souhaitée, puis choisis l'option 1 (Recherche).
--> Patiente jusqu'à la fin du scan.
--> Poste le rapport généré (C:\lopR.txt).
- 1
- 2