Sujet Précédent Sujet Suivant

Beagle supposé ...

Fermé
loup-rapide Messages postés 2 Date d'inscription mercredi 3 juin 2009 Statut Membre Dernière intervention 9 juin 2009 - 9 juin 2009 à 22:58
loup-rapide Messages postés 2 Date d'inscription mercredi 3 juin 2009 Statut Membre Dernière intervention 9 juin 2009 - 9 juin 2009 à 23:59
Bonsoir,

Mon pc principal – sous windows vista 32 est infecté, je suppose, par BEAGLE…et je cherche une bonne volonté pour m’aider à m’en sortir

Conséquence immédiates …..

1/ plus de possibilité internet via le wifi,
2/ impossibilité de re-booster l’antivirus NORTON 360.(en effet pour le re-booster il me demande de retirer puis de remettre ...or la première phase se bloque. J'ai tenté de supprimer les fichiers mais en vain!)

J’ai recherché au niveau des erreurs

4 informations…

pilote bios de gestion de systèmes Microsoft (Root\system\0002) a disparu du système

le périphérique énumérateur du périphérique logiciel Plug and Play (Root\system\0000) a disparu

le pilote de démarrage du système ou d’amorçage n’a pas pu se charger >> SRTSPX et >> SYMTDI

le service de configuration automatique WLAN dépend du service NDIS mode utilisateur E\S Protocole n’a pas pu démarrer car désactivé (erreur 1068)

Après recherche sur forum … et j’ai (via mon autre pc et avec une clef usb) mis en œuvre FINDYKILLV5.002

Qui donne le résultat d’analyse suivant /…….voir ci après :

############################## | FindyKill V5.002 |

# User : papa (Administrateurs) # PC-DE-PAPA
# Update on 07/06/09 by Chiquitine29
# Start at: 21:17:21 | 09/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Pentium(R) Dual CPU E2140 @ 1.60GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 228,13 Go (131,02 Go free) [ACER] # NTFS
# D:\ # Disque fixe local # 227,87 Go (107,65 Go free) [ACER ] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible # 122,51 Mo (121,31 Mo free) [LEXAR MEDIA] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
C:\Program Files\Multimedia Keyboard Driver\V5\StartAutorun.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Program Files\Multimedia Keyboard Driver\V5\KMWDSrv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\VM_STI.EXE
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Users\papa\AppData\Roaming\drivers\winupgro.exe
C:\Program Files\Cegetel\C-BOX\Wizard\Agent_WiFi.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Remote\remoterm.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\system32\svchost.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\Program Files\e-Carte Bleue Banque Populaire\ecbl-nxbp.exe
C:\Program Files\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
C:\Program Files\TRENDnet\TEW-624UB_TEW-644UB\WlanCU.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin200.exe
C:\Users\papa\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Multimedia Keyboard Driver\V5\KMConfig.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Multimedia Keyboard Driver\V5\KMProcess.exe
C:\Windows\system32\conime.exe

############################## | Processus infectieux stoppés |

"C:\Users\papa\AppData\Roaming\drivers\winupgro.exe" (2576)

################## | C: |


################## | C:\Windows |

Présent ! C:\Windows\Prefetch\SERIAL.EXE-115AEC2E.pf

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\papa\AppData\Roaming |

Présent ! C:\Users\papa\AppData\Roaming\drivers
Présent ! C:\Users\papa\AppData\Roaming\drivers\downld
Présent ! C:\Users\papa\AppData\Roaming\drivers\srosa2.sys
Présent ! C:\Users\papa\AppData\Roaming\drivers\wfsintwq.sys
Présent ! C:\Users\papa\AppData\Roaming\drivers\winupgro.exe

################## | Autres ... |

# Références de comparaison Bagle MD5 :

File : C:\Users\papa\AppData\Roaming\drivers\winupgro.exe
-> Crc32 : 54365150 | Md5 : 3838ee14ca76a0badb5ae38245b08c75


################## | C:\Users\papa\Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-685883653-872810414-2856642312-1000\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-685883653-872810414-2856642312-1000\Software\bisoft]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\serial]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-685883653-872810414-2856642312-1000\Software\Local AppWizard-Generated Applications\serial]
Présent ! [HKU\S-1-5-21-685883653-872810414-2856642312-1000\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# (!) Uac = 0x0

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )


################## | ! Fin du rapport # FindyKill V5.002 ! |




Avant de passer à la 2ème étape c’est à dire l’éradication sur les « clefs infectieuses » il est suggéré de faire valider cette opération .

Qu’en pensez-vous et que me conseillez vous …./merci aux spécialistes pour leur conseils.

« loup-rapide »

2 réponses

Réponse 1 / 2
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 231
9 juin 2009 à 23:05
Bonjour

Bagle est bien là
Tu peux lancer le nettoyage.
0
Réponse 2 / 2
loup-rapide Messages postés 2 Date d'inscription mercredi 3 juin 2009 Statut Membre Dernière intervention 9 juin 2009
9 juin 2009 à 23:59
Bonsoir et merci pour ton aide, je suis donc passé à la phase nettoyage...voici ce que di le rapport FINDKILL après nettoyage...
############################## | FindyKill V5.002 |

# User : papa (Administrateurs) # PC-DE-PAPA
# Update on 07/06/09 by Chiquitine29
# Start at: 23:20:06 | 09/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Pentium(R) Dual CPU E2140 @ 1.60GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 228,13 Go (126,37 Go free) [ACER] # NTFS
# D:\ # Disque fixe local # 227,87 Go (107,65 Go free) [ACER ] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Windows\system32\svchost.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Multimedia Keyboard Driver\V5\KMWDSrv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\SERIAL.EXE-115AEC2E.pf
Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-7D1A3CE9.pf

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\papa\AppData\Roaming |

Supprimé ! C:\Users\papa\AppData\Roaming\drivers\srosa2.sys
Supprimé ! C:\Users\papa\AppData\Roaming\drivers\wfsintwq.sys
Supprimé ! C:\Users\papa\AppData\Roaming\drivers\winupgro.exe
Supprimé ! C:\Users\papa\AppData\Roaming\drivers\downld
Supprimé ! C:\Users\papa\AppData\Roaming\drivers

################## | Autres ... |

# Références de comparaison Bagle MD5 :

File : C:\Users\papa\AppData\Roaming\drivers\winupgro.exe
-> Crc32 : 54365150 | Md5 : 3838ee14ca76a0badb5ae38245b08c75


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Supprimé ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
Supprimé ! [HKCU\Software\bisoft]
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\serial]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )


################## | PEH ... |

Corrompu : C:\Program Files\Common Files\NewTech Infosystems\LiveUpdate\LiveUpdate.exe
[Offset = 00000114 - Valeur = 0x0001]

Corrompu : C:\Program Files\Common Files\Symantec Shared\CCAPP.EXE
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\Program Files\Common Files\Symantec Shared\CCEVTMGR.EXE
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Common Files\Symantec Shared\CCSETMGR.EXE
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\Program Files\Common Files\Symantec Shared\CCSVCHST.EXE
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\Program Files\Common Files\Symantec Shared\NPC\isUAC.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\Program Files\Common Files\Symantec Shared\PIF\{96E26A03-A25A-400b-B9B4-564C9BD00F46}\PIFSvc.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Common Files\Symantec Shared\SymSetup\{2D617065-1C52-4240-B5BC-C0AE12157777}_2_2_0_2\Support\Remover\Remover.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\Program Files\Norton 360\osCheck.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Samsung\Samsung PC Studio 3\LiveUpdate.exe
[Offset = 00000124 - Valeur = 0x0001]

Corrompu : C:\Program Files\Samsung\Samsung PC Studio 3\Update\LiveUpdate.exe
[Offset = 0000010C - Valeur = 0x0001]


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.002 ! |

.........................mon pc a redémarré bizarrement ( le cadre d'info wifi avec des signes bizarre)

Bref (et surtout compte tenu de l'heure avancée (23h55), je propose de poursuivre demain sur
1/ la désinstallation et la réinstallation de la CBOX (CEGETEL) wifi
2/ La réinstallation de NORTON 360;

Bien entendu , je te signale, TOPTIBAL, le résultat.
A demain,
cordialement

loup-rapide
0

Discussions similaires

Des informaticiens me posent problèmes
Reineblanche -
Reineblanche -

1 réponse
annonce de chiot beagle
maxdu35 -
nico218 -

4 réponses
Problème Tic-Toc
Sachadiot -
Tiktok -

7 réponses
veron
veron -
Freedomsoul -

4 réponses
suppose une infection
Shiva_0119 -
bazfile -

7 réponses