Infection Virus Bagle - Besoin d'aide

Didier -  
 Utilisateur anonyme -
Bonjour,
Je crois etre infecte par la nouvelle version du Bagle. Mn anti virus Avira ne fonctionne plus et lorsque je cherche a telecharger un autre anti virus ou autre spyware, le system me dit quelque chose comme: ''n'est pas une application win32 valide''. Quelqu'un pourrait il m'aider car je suis un peu perdu... Merci d'avance
Didier
Configuration: Windows XP Internet Explorer 7.0

1 réponse

  1. Utilisateur anonyme
     
    Bonsoir

    Télécharge FindyKill ( de El Desaparecido) sur ton bureau et installe le :

    http://findykill.changelog.fr/Setup.exe
    ou
    http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe

    ! Déconnecte toi et ferme toutes applications en cours !

    * Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.

    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

    * Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l’outil.
    * Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    * Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    Laisse travailler l'outil et ne touche à rien ...

    --> Poste le rapport qui apparaît à la fin , sur le forum ...

    ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    Aides en images : http://pagesperso-orange.fr/NosTools/tuto_fyk2.html

    @+
    0
    1. Didier
       
      Bonsoir Guillaume

      Voici le rapport

      Merci d'avance
      Didier


      ############################## | FindyKill V5.027 |

      # User : Didier (Administrators) # DIDIER
      # Update on 21/01/2010 by El Desaparecido
      # Start at: 8:23:56 PM | 1/21/2010
      # Website : http://pagesperso-orange.fr/NosTools/index.html
      # Contact : FindyKill.Contact@gmail.com

      # Intel(R) Pentium(R) 4 CPU 2.53GHz
      # Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
      # Internet Explorer 8.0.6001.18702
      # Windows Firewall Status : Enabled
      # AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

      # A:\ # 3 1/2 Inch Floppy Drive
      # C:\ # Local Fixed Disk # 111.78 Go (29.68 Go free) # NTFS
      # D:\ # CD-ROM Disc
      # E:\ # CD-ROM Disc
      # F:\ # CD-ROM Disc
      # G:\ # Local Fixed Disk # 232.82 Go (105.95 Go free) [FREECOM HDD] # FAT32

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
      C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
      C:\Program Files\Logitech\QuickCam\Quickcam.exe
      C:\Program Files\QuickTime\QTTask.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe
      C:\Documents and Settings\Didier\Application Data\drivers\winupgro.exe
      C:\PROGRA~1\MICROS~3\rapimgr.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
      C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
      C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
      C:\WINDOWS\wintems.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
      C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ############################## | Processus infectieux stoppés |

      "C:\Documents and Settings\Didier\Application Data\drivers\winupgro.exe" (392)
      "C:\WINDOWS\wintems.exe" (2784)

      ################## | C: |


      ################## | C:\WINDOWS |

      C:\WINDOWS\ban_list.txt
      C:\WINDOWS\mdelk.exe
      C:\WINDOWS\wintems.exe

      ################## | C:\WINDOWS\Prefetch |

      C:\WINDOWS\Prefetch\MDELK.EXE-087EF2B4.pf
      C:\WINDOWS\Prefetch\WINTEMS.EXE-127B61D4.pf

      ################## | C:\WINDOWS\system32 |

      C:\WINDOWS\system32\ban_list.txt
      C:\WINDOWS\system32\mdelk.exe
      C:\WINDOWS\system32\srosa2.sys
      C:\WINDOWS\system32\wfsintwq.sys
      C:\WINDOWS\system32\wintems.exe

      ################## | C:\WINDOWS\system32\drivers |


      ################## | C:\Documents and Settings\Didier\Application Data |

      C:\Documents and Settings\Didier\Application Data\drivers
      C:\Documents and Settings\Didier\Application Data\drivers\downld
      C:\Documents and Settings\Didier\Application Data\drivers\winupgro.exe

      ################## | Temporary Internet Files |


      ################## | Registre |

      [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
      [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
      [HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]
      [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
      [HKLM\SYSTEM\ControlSet001\Services\srosa]
      [HKLM\SYSTEM\ControlSet002\Services\srosa]
      [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
      [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
      [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
      [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
      [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
      [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]
      [HKCU\Software\bisoft]
      [HKCU\Software\DateTime4]
      [HKCU\Software\WS35]
      [HKCU\Software\WS4001]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
      [HKU\S-1-5-21-1123561945-1060284298-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
      [HKU\S-1-5-21-1123561945-1060284298-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
      [HKU\S-1-5-21-1123561945-1060284298-839522115-1003\Software\bisoft]
      [HKU\S-1-5-21-1123561945-1060284298-839522115-1003\Software\DateTime4]
      [HKCU\Software\Local AppWizard-Generated Applications\serial]
      [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
      [HKU\S-1-5-21-1123561945-1060284298-839522115-1003\Software\Local AppWizard-Generated Applications\serial]
      [HKU\S-1-5-21-1123561945-1060284298-839522115-1003\Software\Local AppWizard-Generated Applications\winupgro]

      ################## | Crack > Keygen > Serial |


      ################## | Etat |

      # Affichage des fichiers cachés : OK

      Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

      # (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
      # EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
      # (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
      # (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
      # (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
      # (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

      ################## | ! Fin du rapport # FindyKill V5.027 ! |
      0
    2. Utilisateur anonyme > Didier
       
      Re

      1)! Déconnecte toi et ferme toutes application en cours (navigateur compris) .

      • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

      • Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

      • Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

      • Le pc va redémarrer automatiquement ...

      ▶ le programme va travailler, ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

      --> Poste le rapport qui apparaît à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

      /!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

      Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html


      2)a) Télécharge et installe le logiciel HijackThis :

      https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
      ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
      ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

      -->Clique sur le setup pour lancer l'installation : laisse toi guider et ne modifie pas les paramètres d'installation .
      A la fin de l’installation, le programme se lance automatiquement : ferme le en cliquant sur la croix rouge.
      Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
      "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

      (Ne lance pas ce prg pour l'instant et fais la suite ... )

      b) Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

      -> http://images.malwareremoval.com/random/RSIT.exe

      ! Déconnecte toi et ferme toutes tes applications en cours !

      Double-clique sur " RSIT.exe " pour le lancer.

      Clic droit sous VISTA (exécuter en tant que…)

      -> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

      * Devant l'option "List files/folders created ..." , tu choisis : 2 months

      * clique ensuite sur " Continue " pour lancer l'analyse ...


      -> laisse faire le scan et ne touche pas au PC ...


      Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).

      Poste le contenu de " log.txt " (c'est celui qui apparaît à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

      Important : poste un rapport, puis l'autre dans la réponse suivante ...
      Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
      ( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... )

      ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit


      Poste les rapports au fur et à mesure;merci

      @+
      0
    3. Didier > Utilisateur anonyme
       
      Guillaume

      Que SIGNIFIE: Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

      DB
      0
    4. Utilisateur anonyme > Didier
       
      Re


      Cela veut dire connecte les à l'ordinateur...

      @+
      0
    5. Didier > Utilisateur anonyme
       
      Bonjour,
      L'option suppression du FindyKill prend des heures. J'ai lancer un scan hier soir et 12 heures apres (et je confirme que l'ordinateur n'est pas bloque et continue a travailler) FindyKill me dit que le scan n'est simplement qu'a 30 %... Je ne sais pas si cela est normal mais cela ma parait eternellement long... Merci confirmer si il y une autre manipulation possible
      Didier
      0