Virus Bagle ? WinXP Fermé

Question

Bonjour,

J'ai récemment contracté un virus, je pense qu'il s'agit de Bagle au vu des symptomes :

- coupure de connexion internet
- affichage d'un message 'setupapi.dll' n'est pas une image valide (ce n'est pas la seule .dll, au moins 6 y sont passées)
- ouverture d'IExplore intempestive, et ouverture de fenêtres en relation avec les derniers mots-clés recherchés (ou pas, une fenêtre interdite au - de 18 est apparue..c'est mon PC de boulot :S )

J'ai passé mon anti-virus dessus et il n'a rien trouvé. 

Je me suis un peu renseigné et j'ai commencé par réparer mon SafeBoot. Puis j'ai lancé un rapport FindyKill. On m'a conseillé de venir vous voir donc le voici :


############################## | FindyKill V5.038 |

# User : XXXXXX () # 1F7674J
# Update on 15/03/2010 by El Desaparecido
# Start at: 15:07:37 | 10/04/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 Duo CPU     T9400  @ 2.53GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ]

# C:\ # Disque fixe local # 232,75 Go (107,54 Go free) # NTFS
# D:\ # Disque CD-ROM # 2,34 Go (0 Mo free) [SONY_DVD_RECORDER_VOLUME] # UDF
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 149,05 Go (13,28 Go free) [WD Passport] # NTFS
# H:\ # Connexion réseau
# I:\ # Connexion réseau
# O:\ # Connexion réseau
# P:\ # Connexion réseau
# S:\ # Connexion réseau
# Y:\ # Connexion réseau

################## | Infected File |

C:\Documents and Settings\aamard\Local Settings\Temporary Internet Files\Content.IE5\4N6525CD\filelist[1].txt  

################## | Registry |


################## | State |

# Showing of hidden files : OK
 
# Safe boot mode : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | End of Report # FindyKill V5.038 !  |



Que pensez-vous de ca ? Quelqu'un aurait-il la marche à suivre pour la suite ?

Merci beaucoup par avance, c'est assez important pour moi vu qu'il s'agit de mon laptop de travail !

Alexama


Configuration: Windows XP / Firefox 3.5.9

Utilisateur anonyme · Answer

bonjour,
supprime la version de Fyndykill que tu as sur ton pc, il n'est pas à jour.

puis
*	Télécharge FindyKill sur le Bureau (Merci à l'équipe FYK) : 
http://findykill.changelog.fr/Setup.exe 
ou 
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
* Double-cliquez sur FindyKill présent sur le Bureau. 
* Choisis l'option F pour la langue
* Choisissez l'option 1 (Recherche).
* Laissez travailler l'outil. 
* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).
* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller) 
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
* Tuto : http://pagesperso-orange.fr/NosTools/index.html

Alexama · Answer

Merci Electricien!

En attendant la réponse, j'ai passé ComboFix après avoir lu les conseils pour enlever Bagle.

J'ai refait le scan avec la version de FYK que tu m'as donnée. Pendant le scan j'ai vu de nombreuses fois apparaître en rouge Bagle : C:/dossier/fichier (avec des vrais noms), mais ils n'apparaissent pas dans le report..

############################## | FindyKill V5.038 |

# User : XXXXXX () # 1F7674J
# Update on 15/03/2010 by El Desaparecido
# Start at: 17:45:55 | 10/04/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 Duo CPU     T9400  @ 2.53GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ]

# C:\ # Disque fixe local # 232,75 Go (108,59 Go free) # NTFS
# D:\ # Disque CD-ROM # 2,34 Go (0 Mo free) [SONY_DVD_RECORDER_VOLUME] # UDF
# H:\ # Connexion réseau
# I:\ # Connexion réseau
# O:\ # Connexion réseau
# P:\ # Connexion réseau
# S:\ # Connexion réseau
# Y:\ # Connexion réseau

################## | Infected File |


################## | Registry |


################## | State |

# Showing of hidden files : OK
 
# Safe boot mode : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | End of Report # FindyKill V5.038 !  |


Merci !

Utilisateur anonyme · Answer

relance Fykill en option 2 et poste son rapport,
en même temps, poste le rapport de combofix également

:-)

Alexama · Answer

Je viens de passer FyK en Option 2. Ca a pris toute la nuit! Et apparement il n'a rien trouvé : voici le rapport : 

Pour ComboFix, je n'arrive pas à le poster ici, je vais mettre un lien vers le fichier txt : http://www.cave-a-biere.com/ComboFix.txt


############################## | FindyKill V5.038 | 

# User : XXXXX () # 1F7674J 
# Update on 15/03/2010 by El Desaparecido 
# Start at: 20:24:02 | 10/04/2010 
# Website : http://pagesperso-orange.fr/NosTools/index.html 
# Contact : FindyKill.Contact@gmail.com 

# Intel(R) Core(TM)2 Duo CPU     T9400  @ 2.53GHz 
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3 
# Internet Explorer 8.0.6001.18702 
# Windows Firewall Status : Enabled 
# AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ] 

# C:\ # Disque fixe local # 232,75 Go (108,55 Go free) # NTFS 
# D:\ # Disque CD-ROM # 2,34 Go (0 Mo free) [SONY_DVD_RECORDER_VOLUME] # UDF 
# E:\ # Disque CD-ROM 
# H:\ # Connexion réseau 
# I:\ # Connexion réseau 
# O:\ # Connexion réseau 
# P:\ # Connexion réseau 
# S:\ # Connexion réseau 
# Y:\ # Connexion réseau 

################## | Eléments infectieux | 


################## | MD5 ... | 


################## | CRC32 ... | 


################## | Registre |  


################## | Etat | 

# Mode sans echec : OK 


# Affichage des fichiers cachés : OK 

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )  
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )  
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )  
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )  
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )  
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )  

################## | Fichiers corrompus  | 

... OK !   

################## | Upload | 

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_XXXX.zip : https://www.ionos.fr/?affiliate_id=77097  
Merci pour votre contribution .  

################## | ! Fin du rapport # FindyKill V5.038 ! |

Utilisateur anonyme · Answer

Envoie ce fichier, ceci permet d'améliorer FYK :   

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_XXXX.zip : https://www.ionos.fr/?affiliate_id=77097   

Merci pour ta contribution .   



il y a quand même des changements  :    

rapport avant l'option suppression :    

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )    
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )    
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )    
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )    
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )    
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )    


rapport après la suppression :    

################## | Etat |    

# Mode sans echec : OK    


# Affichage des fichiers cachés : OK    

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )    
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )    
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )    
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )    
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )    
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


Rapport combofix vu  :-)

on va vérifier le reste si tu es d'accord  :

*	Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau. 
http://images.malwareremoval.com/random/RSIT.exe
	
Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
Double clique sur RSIT.exe pour lancer l'outil. 
Clique sur ' continue ' à l'écran Disclaimer. 
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. 
Une fois le scan fini, 2 rapports vont apparaître. Poste le contenu des 2 rapports séparément. Ils se trouvent sur c :
(log.txt & info.txt) 
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

alexama · Answer

Merci infiniment Electricien, c'est vraiment sympa de me filer un coup de main ! :) 

J'ai uploadé le fichier FYK quand il me l'a demandé ; je viens de faire le scan RSIT et voici les logs (je n'arrive toujours pas à les poster ici, ca tourne en boucle et ne poste rien, désolé :( ) 

www.cave-a-biere.com/log.txt 
www.cave-a-biere.com/info.txt 

Encore merci :)

Utilisateur anonyme · Answer

;-)

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 

http://www.atribune.org/ccount/click.php?id=4 

>Double-clique VundoFix.exe afin de le lancer. 
/!\Utilisateur de Vista : Clique droit sur le logo de VundoFix, « exécuter en tant qu'Administrateur »
>Clique sur le bouton Scan for Vundo. 
>Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
>Une invite te demandera si tu veux supprimer les fichiers, clique YES 
>Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
>Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK 
>Démarre ton PC à nouveau. 
>Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.
Tuto : 
http://www.bibou0007.com/outils-specifiques-f78/tutorial-vundofix-t1505.htm

alexama · Answer

Je fais ca tout de suite et je poste les logs, merci :)

Utilisateur anonyme · Answer

:-)

alexama · Answer

Aucun fichier trouvé. Je dois dire que depuis que j'ai passé ComboFix, je n'ai plus eu les symptômes, mis à part un onglet dans firefox qui m'a affiché un site que je n'avais pas demandé...

Peut-être que ComboFix a réparé l'erreur, est-ce possible ? Sinon, je te redirai quand j'aurai les symptômes, je ne voudrais pas que tu te creuses la tête pour rien ;)

Merci encore milles fois,

Alex

alexama · Answer

Re-symptôme, je retourne sur mon ordi et une fenêtre est apparue dans FireFox, une page interdite au - de 18, commençant par : http://www.nichehit. com/paginatraf.html ?ID=18821&fb=WVRveU9u et plein de variables derrières.   

Les liens sur cette page ramènent vers : www.trafficholder.com/ in/in.php?medmic  (je met un espace pour éviter le clic au cas où ce soit dangereux..)   

Rien dans le code source qui puisse donner un indice...   

Est-ce que je dois passer MalwareBytes ?   

Merci encore,   

Alex

Utilisateur anonyme · Answer

ne clique plus sur le lien : 

Télécharge Smitfraudfix : (merci a S!RI pour ce petit programme). 
http://siri.urz.free.fr/Fix/SmitfraudFix.exe 
 
/!\Utilisateur de Vista : Clique droit sur le logo de smithfarudfix, « exécuter en tant qu'Administrateur »

Exécute le, Double click sur Smitfraudfix.exe choisit l'option 1, 
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php 
il va générer un rapport : copie/colle le sur le poste stp. 

Tuto:http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

Note :
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus


@++

alexama · Answer

Voici le rapport après mise à jour :

Je n'ai plus de problèmes avec des avertissements windows me disant que des .dll ne sont pas des images Windows valides. Les seuls symptômes qui restent sont ces fenêtres qui s'ouvrent toutes seuls..

SmitFraudFix v2.424

Rapport fait à 11:03:25,16, 12/04/2010
Executé à partir de C:\Documents and Settings\aamard\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\idt\dellxpm09b_6159v043\wdm\stacsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\NVIDIA Corporation\Performance Drivers
vPDsvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Dell\Dell ControlPoint\DCPButtonSvc.exe
C:\Program Files\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\AESTFltr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\DellTPad\Apoint .exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\Adobe\Adobe Fireworks CS4\Fireworks.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Documents and Settings\aamard\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» U:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\aamard


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\aamard\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\aamard\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\aamard\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:/DOCUME~1/aamard/LOCALS~1/Temp/msohtmlclip1/01/clip_image002.gif"
"SubscribedURL"="file:///C:/DOCUME~1/aamard/LOCALS~1/Temp/msohtmlclip1/01/clip_image002.gif"
"FriendlyName"=""
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) 82567LM Gigabit Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.5.5
DNS Server Search Order: 80.10.246.2
DNS Server Search Order: 80.10.246.129

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FAC05A4E-6ADD-4A5F-8BDE-516C29FC9CE2}: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FAC05A4E-6ADD-4A5F-8BDE-516C29FC9CE2}: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FAC05A4E-6ADD-4A5F-8BDE-516C29FC9CE2}: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Encore merci :)

Utilisateur anonyme · Answer

bonjour,
relance smitfraudfix en option 5, puis poste son rapport

merci  :-)

alexama · Answer

Toujours rien il semblerait.. :(

SmitFraudFix v2.424

Rapport fait à 14:04:13,02, 12/04/2010
Executé à partir de C:\Documents and Settings\aamard\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Description: Intel(R) 82567LM Gigabit Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.5.5
DNS Server Search Order: 80.10.246.2
DNS Server Search Order: 80.10.246.129

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FAC05A4E-6ADD-4A5F-8BDE-516C29FC9CE2}: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FAC05A4E-6ADD-4A5F-8BDE-516C29FC9CE2}: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FAC05A4E-6ADD-4A5F-8BDE-516C29FC9CE2}: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

Description: Intel(R) 82567LM Gigabit Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.5.5
DNS Server Search Order: 80.10.246.2
DNS Server Search Order: 80.10.246.129

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FAC05A4E-6ADD-4A5F-8BDE-516C29FC9CE2}: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FAC05A4E-6ADD-4A5F-8BDE-516C29FC9CE2}: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FAC05A4E-6ADD-4A5F-8BDE-516C29FC9CE2}: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.5.5 80.10.246.2 80.10.246.129

Utilisateur anonyme · Answer

tu es victime d'un détournement de DNS : 

va dans le menu ordinateur, executer, puis tappe CMD : 

A l'invite de commade, tu fais les commandes suivantes:
 
netsh int ip reset all (réinitialisation de la pile TCP/IP) 

puis cette commande: 

netsh winsock reset (réinitialistion Winsock)
 
Eteins et redémarre le PC 


repasse un autre rsit et poste son rapport
note : tu n'auras toujours queun seul rapport.

alexama · Answer

J'ai oublié de préciser plus tôt, ce week-end j'étais sous une autre connexion, et la je suis sur un domaine de travail. Ca peut peut-être influencer.  

J'ai fais la manip, et voila le RSIT : www.cave-a-biere.com/log-RSIT-2.txt  

Merci :)

P.S : Je ne sais pas si c'est normal, mais depuis que j'ai passé FindyKill, mes programmes de démarrage ne démarrent plus au lancement de Windows (mon utilitaire de souris par exemple). Juste pour l'info :)

Utilisateur anonyme · Answer

FYK ne supprime que les infection et non les pilotes, au pire, il suffit de réinstaller les pilotes qui ne fonctiionnent pas, à voir.

connais tu ceci : 

tvnumeric.local

car il est toujours présent sur ton pc.

fait un hard reboot de ton routeur, puis passe ceci : 



Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

 
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

alexama · Answer

tvnumeric.local est le nom de mon domaine. Je ne peux malheureusement pas faire de hard reboot ici sur le routeur, mais je pourrai chez moi. Je passe le scan tout de suite et je reposte dans la foulée !

Merci!

Alex

Utilisateur anonyme · Answer

c'est quoi ton domaine?
il s'agit d'un serveur de boulot ?

si oui, on le laisse  :-)

alexama · Answer

Oui c'est mon serveur de boulot..ca m'ennuierait un peu de devoir l'enlever ;-)

Voici le rapport, il a trouvé un trojan ! (je suis presque soulagé..!)

Est-ce que ca peut venir de la selon toi ?

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3980

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12/04/2010 23:25:43
mbam-log-2010-04-12 (23-25-43).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 262384
Temps écoulé: 1 heure(s), 18 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

bonjour,
pour le moment et sur le rapport, je vois juste les lignes en O17, c'est pour cette raison que je te l'ai demandé  :-)

donc on va les laisser.

relance MBAM, vide sa quarentaine, fais une mise à jour et lance un scan rapide du pc , poste moi le rapport

merci et @ + :-)

alexama · Answer

Bonjour ! :)

Je n'ai rien dans l'onglet Quarantaine, pourtant j'ai bien demandé la mise en quarantaine + suppression à la fin du scan. 

J'ai tt de même repassé un scan rapide, voila le résultat :

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3980

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/04/2010 09:47:46
mbam-log-2010-04-13 (09-47-46).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 117745
Temps écoulé: 4 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Merci ! :)

Utilisateur anonyme · Answer

je pense que ton pc est propre, à toi de me dire si tu as toujours des fenetres qui s'affichent toutes seules avant de finaliser la désinfection  :-)

alexama · Answer

Je n'ai plus de symptômes...j'imagine que ca veut dire qu'il est clean..! :)

Vraiment un grand merci Electricien, c'était vraiment sympa de me filer ce coup de main ! Les pop-up - de 18 au bureau ca le faisait très moyen ..!

Est-ce qu'il reste des choses à faire ou est-ce que je peux me considérer comme tranquille ? 

Je me demande vraiment toujours d'où j'ai attrapé ce machin..je ne vais pourtant sur aucun site bizarre, ni n'ouvre d'emails que je ne connais pas, étrange..

Utilisateur anonyme · Answer

je ne sais pas, il se peut qu'il soit installé avec un programme téléchargé, va savoire ....

pour en finir : 

*	Pour désinstaller les outils de désinfection qu'on a utilisés :

Telecharge ToolsCleaner2
--> http://pc-system.fr/
-Une fois téléchargé, installe-le et lance-le 
-Clique sur Recherche et laisse le scan se terminer 
-Clique sur SUPPRESSION 
-Clique sur Quitter pour que le rapport puisse se créer 
-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt
Note : si certains outils reste sur ton pc, il faut les supprimer manuellement


*	Désactivation, puis Réactivation de la restauration système après désinfection :
Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 
Pour XP :          https://www.commentcamarche.net/faq/5097-virus-system-volume-information


fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat
@++

Virus Bagle ? WinXP

26 réponses

Discussions similaires