Attaque ver Bagle
Clony
Messages postés
1
Date d'inscription
Statut
Membre
Dernière intervention
-
Destrio5 Messages postés 99820 Date d'inscription Statut Modérateur Dernière intervention -
Destrio5 Messages postés 99820 Date d'inscription Statut Modérateur Dernière intervention -
Bonjour tout le monde,
C'est mon premier message dans cette communauté.
J'ai subit une attaque du ver Bagle qui fait perdre tout les logiciel de défense (style avast, spybot...) à ma machine.
J'ai donc suivit le tutoriel de ce site mais impossible tout de même de s'en sortir, il est toujours là et d'après les rapports de Findykill il se multiplie...
Voici le rapport :
############################## | FindyKill V5.021 |
# User : ACouprie (Administrateurs) # ANTOINE
# Update on 10/12/2009 by Chiquitine29
# Start at: 17:06:31 | 18/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1351 [VPS 091130-0] 4.8.1351 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 115,03 Go (10,29 Go free) # NTFS
# D:\ # Disque CD-ROM # 529,21 Mo (0 Mo free) [AOE III DISC 1] # CDFS
# E:\ # Disque CD-ROM # 3,92 Go (0 Mo free) [GTA_SAN_ANDREAS] # CDFS
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | C: |
Présent ! D:\autorun.inf
Présent ! E:\autorun.inf
################## | C:\WINDOWS |
Présent ! C:\WINDOWS\ban_list.txt
Présent ! C:\WINDOWS\mdelk.exe
Présent ! C:\WINDOWS\wintems.exe
Présent ! C:\WINDOWS\Prefetch\135031.EXE-24AEB3B4.pf
Présent ! C:\WINDOWS\Prefetch\144546.EXE-2A223DCE.pf
Présent ! C:\WINDOWS\Prefetch\229468.EXE-050CF803.pf
Présent ! C:\WINDOWS\Prefetch\292843.EXE-2E6312C3.pf
Présent ! C:\WINDOWS\Prefetch\295640.EXE-27BDE3F0.pf
Présent ! C:\WINDOWS\Prefetch\87031.EXE-01F6E002.pf
Présent ! C:\WINDOWS\Prefetch\FLEC006.EXE-1FED6911.pf
Présent ! C:\WINDOWS\Prefetch\MDELK.EXE-087EF2B4.pf
Présent ! C:\WINDOWS\Prefetch\WINTEMS.EXE-127B61D4.pf
################## | C:\WINDOWS\system32 |
Présent ! C:\WINDOWS\system32\srosa2.sys
Présent ! C:\WINDOWS\system32\wfsintwq.sys
################## | C:\WINDOWS\system32\drivers |
################## | C:\Documents and Settings\ACouprie\Application Data |
Présent ! C:\Documents and Settings\ACouprie\Application Data\drivers
Présent ! C:\Documents and Settings\ACouprie\Application Data\drivers\downld
Présent ! C:\Documents and Settings\ACouprie\Application Data\drivers\winupgro.exe
Présent ! C:\Documents and Settings\ACouprie\Application Data\m
Présent ! C:\Documents and Settings\ACouprie\Application Data\m\data.oct
Présent ! C:\Documents and Settings\ACouprie\Application Data\m\flec006.exe
Présent ! C:\Documents and Settings\ACouprie\Application Data\m\list.oct
Présent ! C:\Documents and Settings\ACouprie\Application Data\m\srvlist.oct
Présent ! C:\Documents and Settings\ACouprie\Application Data\m\shared
################## | Temporary Internet Files |
Présent ! C:\Documents and Settings\ACouprie\Local Settings\Temporary Internet Files\Content.IE5\OGQYO9Z6\B646EBE8C9FB88A7B6979B0EC9F27[1].jpg
Présent ! C:\Documents and Settings\ACouprie\Local Settings\Temporary Internet Files\Content.IE5\OGQYO9Z6\mxd[1].jpg
################## | Registre / Clés infectieuses |
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\MuleAppData]
Présent ! [HKCU\Software\WS35]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\bisoft]
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\DateTime4]
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\MuleAppData]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\patch]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\Local AppWizard-Generated Applications\patch]
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V5.021 ! |
Merci d'avance pour votre aide :)
C'est mon premier message dans cette communauté.
J'ai subit une attaque du ver Bagle qui fait perdre tout les logiciel de défense (style avast, spybot...) à ma machine.
J'ai donc suivit le tutoriel de ce site mais impossible tout de même de s'en sortir, il est toujours là et d'après les rapports de Findykill il se multiplie...
Voici le rapport :
############################## | FindyKill V5.021 |
# User : ACouprie (Administrateurs) # ANTOINE
# Update on 10/12/2009 by Chiquitine29
# Start at: 17:06:31 | 18/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1351 [VPS 091130-0] 4.8.1351 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 115,03 Go (10,29 Go free) # NTFS
# D:\ # Disque CD-ROM # 529,21 Mo (0 Mo free) [AOE III DISC 1] # CDFS
# E:\ # Disque CD-ROM # 3,92 Go (0 Mo free) [GTA_SAN_ANDREAS] # CDFS
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | C: |
Présent ! D:\autorun.inf
Présent ! E:\autorun.inf
################## | C:\WINDOWS |
Présent ! C:\WINDOWS\ban_list.txt
Présent ! C:\WINDOWS\mdelk.exe
Présent ! C:\WINDOWS\wintems.exe
Présent ! C:\WINDOWS\Prefetch\135031.EXE-24AEB3B4.pf
Présent ! C:\WINDOWS\Prefetch\144546.EXE-2A223DCE.pf
Présent ! C:\WINDOWS\Prefetch\229468.EXE-050CF803.pf
Présent ! C:\WINDOWS\Prefetch\292843.EXE-2E6312C3.pf
Présent ! C:\WINDOWS\Prefetch\295640.EXE-27BDE3F0.pf
Présent ! C:\WINDOWS\Prefetch\87031.EXE-01F6E002.pf
Présent ! C:\WINDOWS\Prefetch\FLEC006.EXE-1FED6911.pf
Présent ! C:\WINDOWS\Prefetch\MDELK.EXE-087EF2B4.pf
Présent ! C:\WINDOWS\Prefetch\WINTEMS.EXE-127B61D4.pf
################## | C:\WINDOWS\system32 |
Présent ! C:\WINDOWS\system32\srosa2.sys
Présent ! C:\WINDOWS\system32\wfsintwq.sys
################## | C:\WINDOWS\system32\drivers |
################## | C:\Documents and Settings\ACouprie\Application Data |
Présent ! C:\Documents and Settings\ACouprie\Application Data\drivers
Présent ! C:\Documents and Settings\ACouprie\Application Data\drivers\downld
Présent ! C:\Documents and Settings\ACouprie\Application Data\drivers\winupgro.exe
Présent ! C:\Documents and Settings\ACouprie\Application Data\m
Présent ! C:\Documents and Settings\ACouprie\Application Data\m\data.oct
Présent ! C:\Documents and Settings\ACouprie\Application Data\m\flec006.exe
Présent ! C:\Documents and Settings\ACouprie\Application Data\m\list.oct
Présent ! C:\Documents and Settings\ACouprie\Application Data\m\srvlist.oct
Présent ! C:\Documents and Settings\ACouprie\Application Data\m\shared
################## | Temporary Internet Files |
Présent ! C:\Documents and Settings\ACouprie\Local Settings\Temporary Internet Files\Content.IE5\OGQYO9Z6\B646EBE8C9FB88A7B6979B0EC9F27[1].jpg
Présent ! C:\Documents and Settings\ACouprie\Local Settings\Temporary Internet Files\Content.IE5\OGQYO9Z6\mxd[1].jpg
################## | Registre / Clés infectieuses |
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\MuleAppData]
Présent ! [HKCU\Software\WS35]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\bisoft]
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\DateTime4]
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\MuleAppData]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\patch]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\Local AppWizard-Generated Applications\patch]
Présent ! [HKU\S-1-5-21-1292428093-583907252-725345543-1004\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V5.021 ! |
Merci d'avance pour votre aide :)
A voir également:
- Attaque ver Bagle
- Ver num - Guide
- Comment enlever un ver informatique - Guide
- Cyber attaque - Accueil - Piratage
- Attaque par dictionnaire - Guide
- Attaque gmail - Guide
1 réponse
Bonjour,
--> Supprime le fichier qui t'a infecté (Crack par exemple).
--> Double-clique sur FindyKill présent sur ton Bureau.
--> Au menu principal, choisis l'option 2 (Suppression).
/!\ Il y aura un redémarrage, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\
--> Ensuite, poste le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
--> Supprime le fichier qui t'a infecté (Crack par exemple).
--> Double-clique sur FindyKill présent sur ton Bureau.
--> Au menu principal, choisis l'option 2 (Suppression).
/!\ Il y aura un redémarrage, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\
--> Ensuite, poste le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
