Beagle + virus

Résolu
patineur44 -  
 patineur44 -
Bonjour à tous,

Depuis quelques jours j'ai un Beagle qui m'empêche entre autre d'utiliser mon réseau Wi-Fi. J'ai réussi à remettre le Wi-Fi en modifiant à 3 la valeur de la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Start dans la base de registre. En effet à chaque démarage le Beagle remet la valeur à 4.
J'ai donc pu récupérer mon Wi-Fi mais le Beagle est toujours là et me remodifie continuellement la clé.
J'ai essayé de le supprimer avec Elibagla, F-Secure Blacklight, Combofix et Malwarebytes mais ils n'arrivent pas à le supprimer ou alors je m'y prend mal.
J'ai donc besoin de votre aide !

D'avance merci
Configuration: Windows XP
Internet Explorer 7.0

38 réponses

  • 1
  • 2
Résumé de la discussion

Une infection Beagle empêche l’utilisation du Wi‑Fi en modifiant à chaque démarrage la valeur Start de la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio, puis en la rétablissant à 4 au redémarrage.
Plusieurs lecteurs recommandent FindyKill et OTMoveIt3 pour identifier et supprimer les composants malveillants, puis d’effectuer une manipulation en mode administrateur et redémarrer afin que les modifications soient effectives.
Dans les échanges, les utilisateurs rapportent ensuite la génération de rapports et la suppression de fichiers et clés de démarrage, avec des résultats positifs après un nettoyage approfondi et un redémarrage.
En dernier lieu, certains conseils insistent sur la prudence envers les outils non vérifiés et recommandent de s’appuyer sur des procédures éprouvées et des sources fiables pour éviter des redémarrages répétitifs.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    --> Télécharge FindyKill (de Chiquitine29) sur ton Bureau.

    --> Lance l'installation avec les paramètres par défaut.

    --> Double-clique sur le raccourci FindyKill sur ton Bureau.
    (Sous Vista, il faut cliquer droit sur le raccourci FindyKill et choisir Exécuter en tant qu'administrateur)

    --> Au menu principal, choisis l'option 1 (Recherche).

    --> Poste le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
    2
  2. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Tant mieux.
    2
  3. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Salut,
    Petite intervention,
    patineur44, je te conseille extrêmement vivement de te fier aux conseils de Destrio5 et à l'outil de Chiquitine et non pas aux utilitaires bidons anti-bagle qui circulent sur le net.
    Sur ce, bonne continuation Willy.
    Crapoulou.
    1
  4. patineur44
     
    Voici le rapport :

    ############################## [ FindyKill V4.727 ]

    # User : CARRE Florence (Administrateurs) # SALON
    # Update on 27/04/09 by Chiquitine29
    # Start at: 16:17:39 | 28/04/2009
    # Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

    # Intel(R) Pentium(R) 4 CPU 3.20GHz
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    # Internet Explorer 7.0.5730.11
    # Windows Firewall Status : Enabled
    # AV : AntiVirus Firewall 6.15 6.15 [ (!) Disabled | Updated ]
    # FW : AntiVirus Firewall 6.15[ (!) Disabled ]6.15

    # C:\ # Disque fixe local # 27,95 Go (2,46 Go free) [VAIO] # NTFS
    # D:\ # Disque fixe local # 197,95 Go (7,5 Go free) [VAIO] # NTFS
    # E:\ # Disque amovible
    # F:\ # Disque CD-ROM

    ############################## [ Processus actifs ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
    C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE
    C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
    C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
    C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\MessengerPlus! 3\MsgPlus1.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Sony\HotKey Utility\HKserv.exe
    C:\Program Files\Lexmark 6200 Series\ezprint.exe
    D:\Program Files\QuickTime\QTTask.exe
    C:\Program Files\Sony\VAIO Update 3\VAIOUpdt.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Sony\HotKey Utility\HKWnd.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## [ Fichiers / Dossiers infectieux ]

    Found ! C:\WINDOWS\Prefetch\FLEC006.EXE-3A0F400C.pf
    Found ! C:\WINDOWS\Prefetch\MDELK.EXE-0EF461CE.pf
    Found ! C:\WINDOWS\Prefetch\WINTEMS.EXE-377E42D4.pf
    Found ! "C:\Documents and Settings\CARRE Florence\Application Data\drivers"

    ################## [ Infected Temp Files ]

    ################## [ Registre / Clés infectieuses ]

    Found ! HKEY_USERS\S-1-5-21-2824591020-838480686-1845456479-1005\Software\Local AppWizard-Generated Applications\winupgro
    Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro

    ################## [ Recherche dans supports amovibles]

    ################## [ Registre / Mountpoints2 ]

    # -> Not found !

    ################## [ ! Fin du rapport # FindyKill V4.727 ! ]
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. floflo
     
    perso: telecharge le kit de desinfection de norton sa marche nikel j'ai eu le meme prob

    met moi le processeur qui ressemble a: hdlr...exe un truc du genre
    0
  7. floflo
     
    perso j'ai oublier fait: ctrl+alt+suppr et si tu as hldrrr.exe, supprime le
    ou alors ya un process qui ressemble a "beagle.exe" ou un truc du genre je sais plus trop
    0
  8. patineur44
     
    J'ai ni l'un ni l'autre ;(
    La solution de Norton c'est efficace ? Je peux le trouver où ?
    0
  9. floflo
     
    ici: http://www.commentcamarche.net/faq/sujet 2731 virus kit de desinfection pour eradiquer w32 beagle mm bagle
    0
  10. floflo
     
    heu dsl mais j'ai utilisé cet outil et sa a super bien marché chez moi
    0
  11. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Supprime le fichier qui t'a infecté (Crack par exemple).

    --> Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir.

    --> Double-clique sur le raccourci FindyKill sur ton Bureau.

    --> Au menu principal, choisis l'option 2 (Suppression).

    /!\ Il y aura un redémarrage, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

    --> Ensuite, poste le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
    0
  12. patineur44
     
    Voici le rapport :

    ############################## [ FindyKill V4.727 ]

    # User : CARRE Florence (Administrateurs) # SALON
    # Update on 27/04/09 by Chiquitine29
    # Start at: 16:46:05 | 28/04/2009
    # Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

    # Intel(R) Pentium(R) 4 CPU 3.20GHz
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    # Internet Explorer 7.0.5730.11
    # Windows Firewall Status : Enabled
    # AV : AntiVirus Firewall 6.15 6.15 [ (!) Disabled | Updated ]
    # FW : AntiVirus Firewall 6.15[ (!) Disabled ]6.15

    # C:\ # Disque fixe local # 27,95 Go (2,46 Go free) [VAIO] # NTFS
    # D:\ # Disque fixe local # 197,95 Go (7,5 Go free) [VAIO] # NTFS
    # E:\ # Disque amovible
    # F:\ # Disque CD-ROM

    ############################## [ Active Processes ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
    C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE
    C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
    C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
    C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
    C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_Task.exe
    C:\WINDOWS\system32\fxssvc.exe
    C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## [ Infected Files \ Folders ]

    Deleted ! C:\WINDOWS\Prefetch\FLEC006.EXE-3A0F400C.pf
    Deleted ! C:\WINDOWS\Prefetch\MDELK.EXE-0EF461CE.pf
    Deleted ! C:\WINDOWS\Prefetch\WINTEMS.EXE-377E42D4.pf
    Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-0F8DCEDB.pf
    Deleted ! "C:\Documents and Settings\CARRE Florence\Application Data\drivers"

    ################## [ Infected Temp Files ]

    ################## [ Registry / Infected keys ]

    Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro

    ################## [ Cleaning Removable drives ]

    ################## [ Registry / Mountpoint2 ]

    # -> Not found !

    ################## [ States / Restarting of services ]

    # Services : [ Auto=2 / Request=3 / Disable=4 ]

    # Ndisuio -> # Type of startup =3
    # EapHost -> # Type of startup =2
    # Ip6Fw -> # Type of startup =2
    # SharedAccess -> # Type of startup =2
    # wuauserv -> # Type of startup =2
    # wscsvc -> # Type of startup =2

    ################## [ Searching Other Infections ]

    # Références de comparaison Bagle MD5 :

    File ... : C:\Qoobox\Quarantine\C\Documents and Settings\CARRE Florence\Application Data\drivers\winupgro.exe.vir
    CRC32 .. : 31a82915
    MD5 .... : 86ab09b35c73378d1576a587e181a5f4

    # -> Nothing found.

    ################## [ Corrupted files # Re-Installation required ]

    C:\HijackThis.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsav.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\FSAV32.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsavstrt.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\QrtFix.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\trace\common\TraceLog.exe
    C:\Program Files\AntivirusFirewall\backweb\6588780\6.3.2.123-6588780L\Program\register.exe
    C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fsbwsys.exe
    C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
    C:\Program Files\AntivirusFirewall\backweb\6588780\Program\iLaunchr.exe
    C:\Program Files\AntivirusFirewall\backweb\6588780\Program\ServiceWrapper-6588780.exe
    C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
    C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
    C:\Program Files\AntivirusFirewall\Common\FSDIAG.exe
    C:\Program Files\AntivirusFirewall\Common\FSHOTFIX.EXE
    C:\Program Files\AntivirusFirewall\Common\FSLAUNCH.EXE
    C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
    C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
    C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
    C:\Program Files\AntivirusFirewall\Common\ILAUNCHR.EXE
    C:\Program Files\AntivirusFirewall\Common\POLUTIL.EXE
    C:\Program Files\AntivirusFirewall\FSGUI\fsavaui.exe
    C:\Program Files\AntivirusFirewall\FSGUI\fsavgui.exe
    C:\Program Files\AntivirusFirewall\FSGUI\fsdiagui.exe
    C:\Program Files\AntivirusFirewall\FSGUI\fsgetwab.exe
    C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
    C:\Program Files\AntivirusFirewall\FSGUI\fshelp.exe
    C:\Program Files\AntivirusFirewall\FSGUI\fssw.exe
    C:\Program Files\AntivirusFirewall\FSGUI\fstlui.exe
    C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
    C:\Program Files\AntivirusFirewall\FSGUI\quaranti.exe
    C:\Program Files\AntivirusFirewall\FSGUI\webfiltr.exe
    C:\Program Files\AntivirusFirewall\fsuninst.exe
    C:\Program Files\AntivirusFirewall\FWES\program\fsdfwd.exe
    C:\Program Files\AntivirusFirewall\TNB\tnbutil.exe
    C:\Program Files\Fichiers communs\Logitech\QCDRV\BIN\Update.exe
    C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    C:\Program Files\Sonic\RecordNow!\Launch.exe

    ################################### [ Cracks / Keygens / Serials ]

    # -> Nothing found !

    ################## [ ! End of Report # FindyKill V4.727 ! ]
    0
  13. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Réinstalle ton antivirus/firewall F-Secure.

    --> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

    --> Double-clique sur RSIT.exe afin de lancer le programme.
    (Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

    --> Clique sur Continue à l'écran Disclaimer.

    --> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    --> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

    Note : les rapports sont sauvegardés dans le dossier C:\rsit.
    0
  14. patineur44
     
    F-Secure c'est pas mon antivirus !
    Je l'installe quand même ?
    Je le trouve où ?
    0
  15. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Tu as quel antivirus selon toi ?
    0
  16. patineur44
     
    Aucun depuis quelques semaines car j'avais l'antivirus d'Orange mais j'ai arrêté l'abonnement.
    Je fais quoi ?
    0
  17. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    L'antivirus d'Orange, c'est F-Secure en fait.

    --> Désinstalle F-Secure.

    --> Installe Antivir et mets-le à jour.

    --> Double-clique sur l'icône d'Antivir (Parapluie) dans la barre des tâches.

    --> Dans Antivir, choisis Outils puis Configuration.

    --> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages.

    --> Fais un scan complet et poste le rapport.

    Tutoriel sur Antivir
    0
  18. patineur44
     
    Ca va faire 2 heures que j'ai lançé le scan Antivir mais ça n'en ait qu'à 20%. C'est normal ?
    0
  19. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    "Ca va faire 2 heures que j'ai lançé le scan Antivir mais ça n'en ait qu'à 20%. C'est normal ?"

    ---> Ça dépend de la puissance du PC, des données qu'il y a sur le disque dur, du nombre de disques durs, etc.
    0
  20. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Télécharge Lop S&D (par Eric_71 & Angeldark) sur ton Bureau.

    --> Double-clique dessus pour lancer l'installation.

    --> Puis double-clique sur le raccourci Lop S&D présent sur ton Bureau.
    (Sous Vista, il faut cliquer droit sur le raccourci de Lop S&D et choisir Exécuter en tant qu'administrateur)

    --> Sélectionne la langue souhaitée, puis choisis l'option 1 (Recherche).

    --> Patiente jusqu'à la fin du scan.

    --> Poste le rapport généré (C:\lopR.txt).
    0
  • 1
  • 2