Sujet Précédent Sujet Suivant

Infection bagle / rapport FindyKill

Fermé
Boogie Boy - 21 oct. 2009 à 01:18
 Utilisateur anonyme - 21 oct. 2009 à 14:37
Bonjour,
Je crois bien que je me suis fait infecter par Bagle via un faut programme chopper sur emule... comme un bleu ;-p
Neutralisation d'avast et d'avg, impossible de reinstaller quelqu'antivirus que ce soit... application win32 non valide... etc
J'ai choisi findykill pour le virer et voici mon rapport... quelqu'un peut il me dire au plus vite si c'est bien Bagle et si je pe le fixer sans risque.
Merci.


############################## | FindyKill V5.014 |

# User : Propriétaire (Administrateurs) # ALJURAMA
# Update on 20/10/2009 by Chiquitine29
# Start at: 01:07:58 | 2009-10-21
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1356 [VPS 091019-0] 4.8.1356 [ Enabled | Updated ]
# AV : Norton AntiVirus 2004 [ (!) Disabled | (!) Outdated ]
# FW : Norton Personal Firewall[ Enabled ]2004

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 108.01 Go (7.52 Go free) [DISQUE DUR] # NTFS
# D:\ # Disque fixe local # 3.76 Go (795.38 Mo free) [PRESARIO_RP] # FAT32
# E:\ # Disque CD-ROM
# G:\ # Disque CD-ROM
# I:\ # Disque amovible # 965.58 Mo (64.47 Mo free) [BOOGIE CLE] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Propriétaire\Application Data\drivers\winupgro.exe
C:\Documents and Settings\Propriétaire\Application Data\hidires\flec003.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

############################## | Processus infectieux stoppés |

"C:\Documents and Settings\Propriétaire\Application Data\drivers\winupgro.exe" (416)
"C:\Documents and Settings\Propriétaire\Application Data\hidires\flec003.exe" (108)
"C:\WINDOWS\system32\wintems.exe" (1052)

################## | C: |

Présent ! I:\autorun.inf

################## | C:\WINDOWS |

Présent ! C:\WINDOWS\Prefetch\158671.EXE-3155161C.pf
Présent ! C:\WINDOWS\Prefetch\165968.EXE-2E6FBBEC.pf
Présent ! C:\WINDOWS\Prefetch\168609.EXE-29EEE2F2.pf
Présent ! C:\WINDOWS\Prefetch\176281.EXE-01F067BF.pf
Présent ! C:\WINDOWS\Prefetch\178781.EXE-2DD85F77.pf
Présent ! C:\WINDOWS\Prefetch\3744468.EXE-05954267.pf
Présent ! C:\WINDOWS\Prefetch\3746140.EXE-28EBDF0B.pf
Présent ! C:\WINDOWS\Prefetch\3749062.EXE-0A583B40.pf
Présent ! C:\WINDOWS\Prefetch\3758000.EXE-2378FCB9.pf
Présent ! C:\WINDOWS\Prefetch\3759328.EXE-220A9113.pf
Présent ! C:\WINDOWS\Prefetch\388062.EXE-3953BC7D.pf
Présent ! C:\WINDOWS\Prefetch\392250.EXE-0D8EC21E.pf
Présent ! C:\WINDOWS\Prefetch\400265.EXE-245FC49F.pf
Présent ! C:\WINDOWS\Prefetch\403343.EXE-294EED2B.pf
Présent ! C:\WINDOWS\Prefetch\406890.EXE-26F4C02C.pf
Présent ! C:\WINDOWS\Prefetch\461109.EXE-0439DF06.pf
Présent ! C:\WINDOWS\Prefetch\465125.EXE-381AA638.pf
Présent ! C:\WINDOWS\Prefetch\469515.EXE-2529D918.pf
Présent ! C:\WINDOWS\Prefetch\473843.EXE-13E2DBCB.pf
Présent ! C:\WINDOWS\Prefetch\75362578.EXE-1BB6C5DD.pf
Présent ! C:\WINDOWS\Prefetch\75369656.EXE-03BF0908.pf
Présent ! C:\WINDOWS\Prefetch\75386906.EXE-0F1BB74D.pf
Présent ! C:\WINDOWS\Prefetch\75396218.EXE-10D5CD76.pf
Présent ! C:\WINDOWS\Prefetch\CRACK.EXE-2BC113A0.pf
Présent ! C:\WINDOWS\Prefetch\FLEC003.EXE-2CB006A4.pf
Présent ! C:\WINDOWS\Prefetch\FLEC006.EXE-0625BCF7.pf
Présent ! C:\WINDOWS\Prefetch\MDELK.EXE-0EF461CE.pf
Présent ! C:\WINDOWS\Prefetch\WINTEMS.EXE-377E42D4.pf

################## | C:\WINDOWS\system32 |

Présent ! C:\WINDOWS\system32\ban_list.txt
Présent ! C:\WINDOWS\system32\mdelk.exe
Présent ! C:\WINDOWS\system32\wintems.exe

################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Propri‚taire\Application Data |

Présent ! C:\Documents and Settings\Propri‚taire\Application Data\drivers
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\drivers\downld
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\drivers\srosa2.sys
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\drivers\wfsintwq.sys
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\drivers\winupgro.exe
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires\config
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires\downloads.bak
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires\downloads.txt
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires\file.exe
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires\flec003.exe
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires\Incoming
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires\lang
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires\names.txt
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires\server.txt
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires\skins
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires\Temp
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires\WDIR
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\hidires\webserver
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\m
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\m\data.oct
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\m\flec006.exe
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\m\list.oct
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\m\srvlist.oct
Présent ! C:\Documents and Settings\Propri‚taire\Application Data\m\shared

################## | Temporary Internet Files |

Présent ! C:\Documents and Settings\Propri‚taire\Local Settings\Temporary Internet Files\Content.IE5\ABQ5OQU8\mxd2[1].jpg
Présent ! C:\Documents and Settings\Propri‚taire\Local Settings\Temporary Internet Files\Content.IE5\LUAPU47L\file[1].txt

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet002\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\XYZ]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-2195917525-3188631298-4004307818-1003\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-2195917525-3188631298-4004307818-1003\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-2195917525-3188631298-4004307818-1003\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "flec003.exe"
Présent ! [HKU\S-1-5-21-2195917525-3188631298-4004307818-1003\Software\Microsoft\Windows\CurrentVersion\Run] "flec003.exe"
Présent ! [HKU\S-1-5-21-2195917525-3188631298-4004307818-1003\Software\bisoft]
Présent ! [HKU\S-1-5-21-2195917525-3188631298-4004307818-1003\Software\DateTime4]
Présent ! [HKU\S-1-5-21-2195917525-3188631298-4004307818-1003\Software\XYZ]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-2195917525-3188631298-4004307818-1003\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\Guitar Pro v5.2 (Incl Rse)\"Keygen.exe""
2007-01-27 02:51 |Size 94208 |Crc32 c3ec7e65 |Md5 8d9f60f35d7ef075a86e9ba076257402

"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\WinZIP.v9.0.Final.Incl.Keygen-rp2k-ShareReactor.com\"winzip90.exe""
2004-02-24 23:29 |Size 2372760 |Crc32 ef173bad |Md5 be61b64a723bea9a96c09ed6d764fae7


################## | ! Fin du rapport # FindyKill V5.014 ! |

7 réponses

Réponse 1 / 7
Utilisateur anonyme
21 oct. 2009 à 01:21
Hello ;))

Relance Findykill,


● Dans le menu principal, tape 2 puis valide par entrée.

● Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.

● Le nettoyage va prendre quelques minutes... Appuie sur OK sur la fenêtre d'informations

Le fix peux avoir besoin de redémarrer l'ordinateur, un message vous en averti, tu dois appuyer sur une touche...

Au redémarrage, le fix se relance... laisse l'opération s'effectuer.

Le rapport s'ouvre via le bloc note copie et colle le dans ta prochaine réponse ...


+ D'info : Tuto

======================================

Fait ceci pour un scan un peu plus clair :

◆ Télécharge sur ton bureaux RSIT ( Random's Systeme Information Tools ) :

>> http://images.malwareremoval.com/random/RSIT.exe

◆ Double clique sur RSIT.exe qui se trouve sur ton bureau pour le lancer
◆ Une fenêtre intitulé " Disclaimer of Warranty " s'ouvre clique sur continue


Le rapport commence ...


# Les rapports ce trouvent à cet endroit : C:\rsit\info.txt C:\rsit\log.txt ...

/l\ NE LES POSTES PAS SUR LE FORUM /l\

Rend toi à cette adresse :

http://www.cijoint.fr

Héberge les et envoie moi les liens ..



- - - > Prochaine réponse, deux rapports Findykill + RSIT ;))
0
Réponse 2 / 7
Boogie Boy
21 oct. 2009 à 01:48
WOW, terrible ce Forum, hyper réactif, merci à toi pour la rapidité de réponse...

Je me suis dépeché de mon coté aussi et je viens de finir le fix de findykill.
Voici mes rapport findykill et rsit:

http://www.cijoint.fr/cjlink.php?file=cj200910/cijSpMcBO3.zip


Alors?? Eske la méchante bebete est partie??
0
Réponse 3 / 7
Utilisateur anonyme
21 oct. 2009 à 01:51
Il en reste ...

==> Usb Fix <==

Server 2 : http://pagesperso-orange.fr/nostools/usbfix.html

● Installe sur ton bureaux Usbfix ( de Chiquitine29 et C_XX )
● Double clique sur l'icône Usbfix le programme se lance ...
● Sur le menu principal de USBFix choisit l'option 1

Un message t'indique alors de brancher tous tes médias amovibles, insère les puis appuie sur une touche pour lancer le scan.

(!) Le menu démarrer et les icônes vont disparaître.. c'est normal (!)

A la fin du scan un rapport s'ouvre dans le bloc note :

● Clique sur le menu Édition puis Sélectionner tout.
● Clique à nouveau sur le menu Édition puis coller.
● Colle le contenue du rapport dans ta prochaine réponse
0
Réponse 4 / 7
Boogie Boy
21 oct. 2009 à 01:56
############################## | UsbFix V6.042 |

User : Propriétaire (Administrateurs) # ALJURAMA
Update on 15/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 01:54:15 | 2009-10-21
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1356 [VPS 091019-0] 4.8.1356 [ Enabled | Updated ]
AV : Norton AntiVirus 2004 [ (!) Disabled | (!) Outdated ]
FW : Norton Personal Firewall[ Enabled ]2004

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 108.01 Go (8.1 Go free) [DISQUE DUR] # NTFS
D:\ -> Disque fixe local # 3.76 Go (795.38 Mo free) [PRESARIO_RP] # FAT32
E:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
I:\ -> Disque amovible # 965.58 Mo (64.48 Mo free) [BOOGIE CLE] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
D:\desktop.ini

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{3d36401b-54d3-11d9-ba40-00ff00300101}
Shell\Auto\command =F:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

################## | ! Fin du rapport # UsbFix V6.042 ! |
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Boogie Boy
21 oct. 2009 à 01:58
Rien de grave apperement... ?
0
Réponse 6 / 7
Boogie Boy
21 oct. 2009 à 02:01
J'ai rien dit, je me souciais de ma cé usb, mais ce con est allé jusqu'à mon disque de récupération...
0
Réponse 7 / 7
Utilisateur anonyme
21 oct. 2009 à 14:37
● Relance UsbFix
● Dans le menu principale cette fois choisit l'option2

(!) Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal. (!)


Si un message te demande de redémarrer l'ordinateur fait le ...

● Au redémarrage, le fix se relance... laisse l'opération s'effectuer.
● Le bloc note s'ouvre avec un rapport, envoie le dans la prochaine réponse

0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
1fichier.com et bloqueur de pub
anthea1309 -
Patoche12 -

60 réponses
impossible d'afficher le tableau dynamique sur un rapport existant
Pierre -
Adrien71 -

3 réponses
Accés au cloud
Dadou1968 -
loisou17 -

3 réponses