aidez moi: virus bagle Fermé

Question

Bonjour,

Qui pourrait m'aider,

voici un rapport findykill:




############################## | FindyKill V5.020 |

# User : HP_Administrator (Administrateurs) # ALINETOMMY
# Update on 26/11/2009 by Chiquitine29
# Start at: 22:40:03 | 27/11/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

#          Intel(R) Atom(TM) CPU  230   @ 1.60GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1351 [VPS 091127-1] 4.8.1351 [ (!) Disabled | Updated ]
# FW : Kaspersky Anti-Hacker[ (!) Disabled ]1.9.4

# C:\ # Disque fixe local # 139,25 Go (24,46 Go free) [COMPAQ] # NTFS
# D:\ # Disque fixe local # 9,78 Go (2,35 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Program Files\AxBx\VirusKeeper 2010 Pro Evaluation\vk_service.exe
C:\Program Files\Winsudate\gibsvc.exe
C:\Documents and Settings\HP_Administrator\Application Data\Agence Exclusive\Update\UpdateHP.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\HP_Administrator\Application Data\drivers\winupgro.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\HP_Administrator\Application Data\m\flec006.exe
C:\WINDOWS\wintems.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
 
############################## | Processus infectieux stoppés  | 

"C:\Documents and Settings\HP_Administrator\Application Data\drivers\winupgro.exe"  (244)
"C:\Documents and Settings\HP_Administrator\Application Data\m\flec006.exe"  (2604)
"C:\WINDOWS\wintems.exe"  (2772)

################## | C: |

Présent ! C:\autorun.inf  
Présent ! D:\autorun.inf  

################## | C:\WINDOWS |

Présent ! C:\WINDOWS\ban_list.txt  
Présent ! C:\WINDOWS\mdelk.exe  
Présent ! C:\WINDOWS\wintems.exe  
Présent ! C:\WINDOWS\Prefetch\102593.EXE-219AA5CB.pf  
Présent ! C:\WINDOWS\Prefetch\111515.EXE-32C0FDE5.pf  
Présent ! C:\WINDOWS\Prefetch\114859.EXE-2EC08F86.pf  
Présent ! C:\WINDOWS\Prefetch\97703.EXE-0C240B39.pf  
Présent ! C:\WINDOWS\Prefetch\FLEC006.EXE-244BCD61.pf  
Présent ! C:\WINDOWS\Prefetch\MDELK.EXE-087EF2B4.pf  
Présent ! C:\WINDOWS\Prefetch\SERIAL.EXE-001A2C2E.pf  
Présent ! C:\WINDOWS\Prefetch\SERIAL.EXE-0846C88A.pf  
Présent ! C:\WINDOWS\Prefetch\SERIAL.EXE-3444BD48.pf  
Présent ! C:\WINDOWS\Prefetch\WINTEMS.EXE-127B61D4.pf  

################## | C:\WINDOWS\system32 |

Présent ! C:\WINDOWS\system32\srosa2.sys  
Présent ! C:\WINDOWS\system32\wfsintwq.sys  

################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\HP_Administrator\Application Data |

Présent ! C:\Documents and Settings\HP_Administrator\Application Data\drivers  
Présent ! C:\Documents and Settings\HP_Administrator\Application Data\drivers\downld  
Présent ! C:\Documents and Settings\HP_Administrator\Application Data\drivers\winupgro.exe  
Présent ! C:\Documents and Settings\HP_Administrator\Application Data\m  
Présent ! C:\Documents and Settings\HP_Administrator\Application Data\m\data.oct  
Présent ! C:\Documents and Settings\HP_Administrator\Application Data\m\flec006.exe  
Présent ! C:\Documents and Settings\HP_Administrator\Application Data\m\list.oct  
Présent ! C:\Documents and Settings\HP_Administrator\Application Data\m\srvlist.oct  
Présent ! C:\Documents and Settings\HP_Administrator\Application Data\m\shared  

################## | Références de comparaison Bagle MD5 : |

File : C:\WINDOWS\system32\srosa2.sys 
-> Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b  
 

File : C:\WINDOWS\system32\wfsintwq.sys 
-> Crc32 : 0dd07a42 | Md5 : 75c6b3da1b43990a3cf21b77946d21f5  
 

File : C:\Documents and Settings\HP_Administrator\Application Data\drivers\winupgro.exe 
-> Crc32 : 5406d25c | Md5 : 5048de2f3c9ab6e9b49d88f29ef1afb6  
 

################## | Autres detections ... |

Bagle ! "C:\Documents and Settings\HP_Administrator\Local Settings\Temp\Rar$EX00.844\serial.exe" 
-> Size : 778240 | Crc32 : 5406d25c | Md5 : 5048de2f3c9ab6e9b49d88f29ef1afb6 
 
Bagle ! "C:\Documents and Settings\HP_Administrator\Local Settings\Temp\Rar$EX00.845\serial.exe" 
-> Size : 778240 | Crc32 : 5406d25c | Md5 : 5048de2f3c9ab6e9b49d88f29ef1afb6 
 
Bagle ! "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" 
-> Size : 778240 | Crc32 : 5406d25c | Md5 : 5048de2f3c9ab6e9b49d88f29ef1afb6 
 
Bagle ! "C:\System Volume Information\_restore{490C91B5-BD98-4260-8479-C80CD2F9C461}\RP112\A0013998.exe" 
-> Size : 778240 | Crc32 : 5406d25c | Md5 : 5048de2f3c9ab6e9b49d88f29ef1afb6 
 
Bagle ! "C:\System Volume Information\_restore{490C91B5-BD98-4260-8479-C80CD2F9C461}\RP112\A0014012.sys" 
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b 
 
Bagle ! "C:\System Volume Information\_restore{490C91B5-BD98-4260-8479-C80CD2F9C461}\RP112\A0014013.sys" 
-> Size : 101780 | Crc32 : 0dd07a42 | Md5 : 75c6b3da1b43990a3cf21b77946d21f5 
 
Bagle ! "C:\System Volume Information\_restore{490C91B5-BD98-4260-8479-C80CD2F9C461}\RP115\A0014372.sys" 
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b 
 
Bagle ! "C:\System Volume Information\_restore{490C91B5-BD98-4260-8479-C80CD2F9C461}\RP115\A0014373.sys" 
-> Size : 101780 | Crc32 : 0dd07a42 | Md5 : 75c6b3da1b43990a3cf21b77946d21f5 
 
Bagle ! "C:\System Volume Information\_restore{490C91B5-BD98-4260-8479-C80CD2F9C461}\RP115\A0014384.sys" 
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b 
 
Bagle ! "C:\System Volume Information\_restore{490C91B5-BD98-4260-8479-C80CD2F9C461}\RP115\A0014385.sys" 
-> Size : 101780 | Crc32 : 0dd07a42 | Md5 : 75c6b3da1b43990a3cf21b77946d21f5 
 
Bagle ! "C:\System Volume Information\_restore{490C91B5-BD98-4260-8479-C80CD2F9C461}\RP115\A0014422.sys" 
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b 
 
Bagle ! "C:\System Volume Information\_restore{490C91B5-BD98-4260-8479-C80CD2F9C461}\RP115\A0014423.sys" 
-> Size : 101780 | Crc32 : 0dd07a42 | Md5 : 75c6b3da1b43990a3cf21b77946d21f5 
 
################## | Temporary Internet Files |

Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\4IP069JV\b64[1].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\4IP069JV\b64_5[1].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\O3BKMW4B\b64[1].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\O3BKMW4B\b64[2].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\O3BKMW4B\b64_1[1].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\O3BKMW4B\b64_3[1].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\O3BKMW4B\b64_5[2].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\PFA76N73\b64_1[1].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\PFA76N73\b64_3[1].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\PFA76N73\b64_3[2].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\QGELQLWL\b64[1].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\QGELQLWL\b64_1[1].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\QGELQLWL\b64_1[2].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\QGELQLWL\b64_3[1].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\QGELQLWL\b64_5[1].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\QGELQLWL\b64_5[2].jpg  
Présent ! C:\Documents and Settings\HP_Administrator\Local Settings\Temporary Internet Files\Content.IE5\QGELQLWL\mxd[1].jpg  

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]  
Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]  
Présent ! [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]  
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]  
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]  
Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]  
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]  
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]  
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]  
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]  
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]  
Présent ! [HKCU\Software\bisoft]  
Présent ! [HKCU\Software\DateTime4]  
Présent ! [HKCU\Software\MuleAppData]  
Présent ! [HKCU\Software\WS35]  
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
Présent ! [HKU\S-1-5-21-218668601-1456520233-2356294368-1006\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"  
Présent ! [HKU\S-1-5-21-218668601-1456520233-2356294368-1006\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"  
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
Présent ! [HKU\S-1-5-21-218668601-1456520233-2356294368-1006\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
Présent ! [HKU\S-1-5-21-218668601-1456520233-2356294368-1006\Software\bisoft]  
Présent ! [HKU\S-1-5-21-218668601-1456520233-2356294368-1006\Software\DateTime4]  
Présent ! [HKU\S-1-5-21-218668601-1456520233-2356294368-1006\Software\MuleAppData]  
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\serial]  
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
Présent ! [HKU\S-1-5-21-218668601-1456520233-2356294368-1006\Software\Local AppWizard-Generated Applications\serial]  
Présent ! [HKU\S-1-5-21-218668601-1456520233-2356294368-1006\Software\Local AppWizard-Generated Applications\winupgro]  
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"  
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"  
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"  
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"  
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !  
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\HP_Administrator\Local Settings\Temp\Rar$EX00.844\serial.exe"  
10/07/2006 09:05 |Size 778240 |Crc32 5406d25c |Md5 5048de2f3c9ab6e9b49d88f29ef1afb6  
 
"C:\Documents and Settings\HP_Administrator\Local Settings\Temp\Rar$EX00.845\serial.exe"  
10/07/2006 09:05 |Size 778240 |Crc32 5406d25c |Md5 5048de2f3c9ab6e9b49d88f29ef1afb6  
 

################## | ! Fin du rapport # FindyKill V5.020 ! |

Utilisateur anonyme · Answer

Salut,

Fait ceci :

########### [ Option 2  ( Suppression )  ] 



&#9654 Déconnecte toi et ferme toutes application en cours ( navigateur compris ) . 

&#9654 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

&#9654 Relance "FindyKill" (clic droit "en tant qu'administrateur" pour Vista): au menu principal choisis l'option " F " pour français et tape sur [entrée] .

&#9654 Au second menu choisis l'option 2 (suppression) et tape sur [entrée] 

&#9654 Le pc va redémarrer automatiquement ...

&#9654 le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

&#9654 Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 

&#9654 Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide 


=======================

ensuite : 

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur la clé à molette puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

tommylee6217 · Answer

bonjour,

j'ai fait comme tu m'as dit:


http://www.cijoint.fr/cjlink.php?file=cj200911/cijCrGkbpZ.txt

Utilisateur anonyme · Answer

Ou est le rapport Navilog ?


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Aidez moi: virus bagle

3 réponses