Infecté par Bagle Help!!! Résolu/Fermé

Question

mon wifi ne marche plus, et le son ne marche plus aussi. je crois que c'est un virus bagle, quelqu'un peut m'aider a m'en debarrasser SVP.

Pitié :/

Configuration: Windows xp / Firefox 3.5.9

Smart91 · Answer

Bonjour
 
On va analyser ton PC:
Télécharge ZHPDiag sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

sanari · Answer

Un anti-virus ne peut pas t'aider à l'enlever ?

Radian · Answer

voila

http://www.cijoint.fr/cjlink.php?file=cj201005/cijfRRB4hb.txt

Et merci pour ton aide je suis perdu

Smart91 · Answer

Ouah. Ton PC est un nid à Virus
Première chose on va déjà virer le MBR Rootkit:

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------
MBRFIX
----------------------------------------------------------

-  Clique sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

Radian · Answer

OUPS c'est plutot ca :

ZHPFix v1.12.3099 by Nicolas Coolman - Rapport de suppression du 07/05/2004 18:58:11
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x89BDC1E8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x89c4e1e8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 19
Préférences navigateur : 0
Autre : 0

End of the scan

Smart91 · Answer

OK on continue.
Attention, cet outil n'est pas à utiliser à la légère, et doit être recommandé que par une personne formée à cet outil 
Imprime la procédure 

Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

-  /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
-  Double-clique sur ComboFix.exe 
-  Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 
-  Surtout, accepte d'installer la console de récupération 
-  Mets-le en langue française F 
-  Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC 
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Smart

Radian · Answer

je n'arrive pas a mettre combo fix sur le bureau, j'utilise un autre pc pour le web et quand je transfert au pc infecté je peux pas le mettre sur le bureau la fenetre se bloque......

je peux le lancer a partuir d'une cles usb?.

Smart91 · Answer

Bon. On va laissé de côté combofix pour le le moment et s'occuper de bagle qui empèche tout:

Télécharge FindyKill (créé par El Desaparecido) et enregistre-le sur ton bureau

-  tutoriel recherche
-  /!\ Ne fais pas le nettoyage tout dessuite /!\
-  Double-clique sur le raccourci FindyKill sur ton bureau, l'installation se fera automatiquement
-  Au menu principal,choisis l'option 1 (Recherche)
-  Poste le rapport FindyKill.txt

* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque: c:\Findykill.txt

Smart

Radian · Answer

############################## | FindyKill V5.041 |

# User : Administrateur (Administrateurs) # SWEET-2B8D26801
# Update on 29/04/2010 by El Desaparecido
# Start at: 20:17:56 | 07/05/2004
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 Duo CPU     T7250  @ 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 87,89 Go (988,14 Mo free) # NTFS
# D:\ # Disque fixe local # 61,15 Go (2,24 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
 
############################## | Processus infectieux stoppés  | 

"C:\Documents and Settings\Administrateur.SWEET-2B8D26801\Application Data\drivers\winupgro.exe"  (2020)

################## | Eléments infectieux |

C:\WINDOWS.0\system32\srosa2.sys  
C:\WINDOWS.0\system32\wfsintwq.sys  
C:\Documents and Settings\Administrateur.SWEET-2B8D26801\Application Data\drivers  
C:\Documents and Settings\Administrateur.SWEET-2B8D26801\Application Data\drivers\downld  
C:\Documents and Settings\Administrateur.SWEET-2B8D26801\Application Data\drivers\winupgro.exe  

################## | Registre |

[HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]  
[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]  
[HKLM\SYSTEM\CurrentControlSet\Services\srosa]  
[HKLM\SYSTEM\ControlSet001\Services\srosa]  
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]  
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]  
[HKCU\Software\bisoft]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKU\S-1-5-21-796845957-1801674531-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKU\S-1-5-21-796845957-1801674531-1417001333-500\Software\bisoft]  
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
[HKU\S-1-5-21-796845957-1801674531-1417001333-500\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !  
 
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )  
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.041 ! |

Smart91 · Answer

OK. On va faire la Suppression: 

-  tutoriel nettoyage 
-  Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir 
-  Double clic sur le raccourci FindyKill sur ton bureau 
-  Au menu principal, choisis l'option 2 (Suppression) 

/!\ il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" 

/!\ Ne te sert pas du pc durant la suppression, ton bureau ne sera pas accessible c'est normal 

-  Ensuite poste le rapport FindyKill.txt 
-  FindyKill te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097 
-  Ce dossier a été créé par FindyKill et est enregistré sur ton bureau. 
-  Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de FindyKill dans ses recherches. 
-  Il faut sélectionner "FindyKill" dans le menu déroulant 
-  Merci d'avance pour ta contribution 

* Note : le rapport FindyKill.txt est sauvegardé à la racine du disque 
* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide 

A lire absolument: 

Le danger des cracks 
Bagle/Beagle 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Radian · Answer

############################## | FindyKill V5.041 |

# User : Administrateur (Administrateurs) # SWEET-2B8D26801
# Update on 29/04/2010 by El Desaparecido
# Start at: 21:04:01 | 07/05/2004
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 Duo CPU     T7250  @ 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 87,89 Go (1,03 Go free) # NTFS
# D:\ # Disque fixe local # 61,15 Go (2,24 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque amovible # 238 Mo (137,7 Mo free) [INTUIX KEY] # FAT
# H:\ # Disque amovible # 3,73 Go (3,73 Go free) [UDISK] # FAT32

################## | Eléments infectieux |

Supprimé ! C:\WINDOWS.0\system32\srosa2.sys 
Supprimé ! C:\WINDOWS.0\system32\wfsintwq.sys 
Supprimé ! C:\Documents and Settings\Administrateur.SWEET-2B8D26801\Application Data\drivers\downld 
Supprimé ! C:\Documents and Settings\Administrateur.SWEET-2B8D26801\Application Data\drivers\winupgro.exe 
Supprimé ! C:\Documents and Settings\Administrateur.SWEET-2B8D26801\Application Data\drivers 

################## | Références de comparaison Bagle MD5 : |

File : C:\Documents and Settings\Administrateur.SWEET-2B8D26801\Application Data\drivers\winupgro.exe 
-> Crc32 : 9c1a89ed | Md5 : 6149e368eb803b57137cc3a06f4a498f  
 

################## | MD5 ... |

Supprimé ! "C:\Program Files\LG Electronics\Modem USB LG Electronics\UMAService.exe" 
-> Size : 839680 | Crc32 : 9c1a89ed | Md5 : 6149e368eb803b57137cc3a06f4a498f 

Supprimé ! "C:\System Volume Information\_restore{C34EEBE9-32EA-4092-8EC9-EE2A610F854F}\RP4\A0003721.exe" 
-> Size : 839680 | Crc32 : 9c1a89ed | Md5 : 6149e368eb803b57137cc3a06f4a498f 


################## | CRC32 ... |


################## | Registre | 

Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]  
Supprimé ! [HKCU\Software\bisoft]  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Mode sans echec restauré ! 

# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | Fichiers corrompus  |

Corrompu : C:\Documents and Settings\Administrateur.SWEET-2B8D26801\Bureau\ComboFix.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\Program Files\AVG\AVG9\avgam.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\AVG\AVG9\avgchsvx.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\AVG\AVG9\avgcsrvx.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\AVG\AVG9\avgnsx.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\AVG\AVG9\avgrsx.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\AVG\AVG9\avgtray.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\AVG\AVG9\avgwdsvc.exe
[Offset = 00000104 - Valeur = 0x0001]


################## | Upload |

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_SWEET-2B8D26801.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution . 

################## | ! Fin du rapport # FindyKill V5.041 ! |

Smart91 · Answer

Normalement ta connexion Internet via WiFi devrait refonctionner. Est-ce bien le cas ? 
Efface comboFix.exe et CCM.exe si tu l'avais créé 
Et recommence ce que j'avais dit ici: 
https://forums.commentcamarche.net/forum/affich-17650116-infecte-par-bagle-help#8 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Radian · Answer

Le son fonctionne mnt mais pas le wifi, ca me met toujours que windows ne peut pas configurer cette connexion sans fil.

Je doit lancer combofix mnt?

Smart91 · Answer

On va régler la connexion WiFi
Va dans le panneau de configuration > Outils d'administration > Services et vérifie que le service "Configuration automatique sans fil" est démarré en automatique. Sinon fais le.
Ensuite va dans les propriétés de la connexion sans fil > Onglet "Configuration sans fil" et coche la case "Utiliser Windows pour configurer ma connexion sans fil".

Smart

Radian · Answer

YES!

J'ai lancé combo fix et tout marche a nouveau!!!


Un grand grand GRAND GRAAANNND merci toi smart!!!!!!!!!!!!!!!

Smart91 · Answer

Attends ce n'est pas TERMINE tu as encore plein de virus.
Mets moi une copie du rapport Combofix STP

Smart

Radian · Answer

Je ne trouve pas le rapport ComboFix.txt  il est pas dans C:

il y'a un dossier  ccm sur C (vu que je l'ai renomé)

...?

Radian · Answer

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 07/05/10 à 16:50
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 00:12:52 le 08/05/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM)  Service Pack 2 - X86
Nom du PC: SWEET-2B8D26801
Utilisateur actuel: Administrateur
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
Service: *Application Updater*
.
C:\Documents and Settings\Administrateur.SWEET-2B8D26801\Application Data\Dealio
C:\Documents and Settings\Administrateur.SWEET-2B8D26801\Application Data\Search Settings
C:\Program Files\Application Updater
C:\Program Files\Mozilla FireFox\Components\AskSearch.js

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\Dealio
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
HKCU\Software\Search Settings
HKLM\Software\Application Updater
HKLM\Software\AskBarDis
HKLM\Software\Classes\CLSID\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
HKLM\Software\Classes\Installer\Products\96DC878CBD58B624183A7E1157AABE19
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\Software\Dealio
HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\96DC878CBD58B624183A7E1157AABE19
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{C878CD69-85DB-426B-81A3-E71175AAEB91}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uutbcj
HKLM\Software\Search Settings
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Application Updater\ApplicationUpdater.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Dealio Toolbar\FF\chrome.manifest
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Dealio Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.properties
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Dealio Toolbar\FF\components\dealioToolbarFF.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Dealio Toolbar\FF\install.rdf
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\FF\chrome\locale\en-US\searchsettingsplugin.dtd
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\FF\components\SearchSettingsFF.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\FF\install.rdf
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettingsRes409.dll
.
(Orpheline) HKCU,Run - UMService - C:\Program Files\LG Electronics\Modem USB LG Electronics\UMAService.exe (Fichier manquant)
(Orpheline) HKLM,Uninstall - In Nomine_is1 - C:\Europa Universalis III\unins000.exe (Fichier manquant)
(Orpheline) HKLM,Uninstall - Mount&Blade Warband - C:\Mount&Blade Warband\uninstall.exe (Fichier manquant)
(Orpheline) HKLM,Uninstall - ReCycle v2.1 - D:\Recycle\UNWISE.exe (Fichier manquant)
(Orpheline) HKLM,Uninstall - Sudden Strike 3 - C:\Sudden Strike 3\uninstall.exe (Fichier manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Documents and Settings\Administrateur.SWEET-2B8D26801\..\fxsfgqjj.default\prefs.js - browser.download.lastDir: C:\Documents and Settings\Administrateur.SWEET-2B8D26801\Bureau
C:\Documents and Settings\Administrateur.SWEET-2B8D26801\..\fxsfgqjj.default\prefs.js - browser.search.defaultenginename: Fast Browser Search
C:\Documents and Settings\Administrateur.SWEET-2B8D26801\..\fxsfgqjj.default\prefs.js - browser.search.defaulturl: hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=
C:\Documents and Settings\Administrateur.SWEET-2B8D26801\..\fxsfgqjj.default\prefs.js - browser.startup.homepage: hxxp://www.google.com/
C:\Documents and Settings\Administrateur.SWEET-2B8D26801\..\fxsfgqjj.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
C:\Documents and Settings\Administrateur.SWEET-2B8D26801\..\fxsfgqjj.default\prefs.js - keyword.URL: hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={43985CD3-01E4-A8EB-78E9-57198615C330}&q=
C:\Documents and Settings\Radian\..\vj7ib2sb.default\prefs.js - browser.startup.homepage: google.fr
C:\Documents and Settings\Radian\..\vj7ib2sb.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.6
.
EFFACÉ: C:\Documents and Settings\Administrateur.SWEET-2B8D26801\..\fxsfgqjj.default\prefs.js - user_pref("browser.search.defaultenginename", "Fast Browser Search");
EFFACÉ: C:\Documents and Settings\Administrateur.SWEET-2B8D26801\..\fxsfgqjj.default\prefs.js - user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=");
EFFACÉ: C:\Documents and Settings\Administrateur.SWEET-2B8D26801\..\fxsfgqjj.default\prefs.js - user_pref("browser.search.order.1", "Fast Browser Search");
EFFACÉ: C:\Documents and Settings\Administrateur.SWEET-2B8D26801\..\fxsfgqjj.default\prefs.js - user_pref("keyword.URL", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={43985CD3-01E4-A8EB-78E9-57198615C330}&q=");
.
* Internet Explorer Version 7.0.5730.11 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\WINDOWS.0\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 7172 Octet(s)
.
Fin à: 00:19:59, 08/05/2010
.
============== E.O.F - CLEAN[1] ==============

Smart91 · Answer

OK. On avance

Maintenant
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart

Radian · Answer

Ily'a une erreur durant l'installation de bagle donc j'arrive pas a le lancer.

J'ai essayé de le reinstaller mais ca ne marche pas.

lors de l'installation ca fait cette erreur :

Une erreur s'est produite, veuillez transmettre ce code d'erreur a notre equipe de support.

MBAM_ERROR_EXPANDING_VARIABLES (0, 9)

Smart91 · Answer

Je pense que cela doit venir de l'espace libre de ton disque dur. Est-ce que tu peux faire le menage. Vide la corbeille, les fichiers temporaires Internet et autres

Smart

Smart91 · Answer

@radian
Laisse de côté MBAM pour le moment. On va faire autrement

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

- Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
- Lance Gmer (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
- Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
- A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt
- Héberge le rapport sur http://www.cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Smart

gen-hackman · Answer

salut de passage 

essaie cette version de gmer elle devrait fonctionner

http://sd-1.archive-host.com/membres/up/829108531491024/Temp_Tools/gmerpif.zip

Radian · Answer

Rapport Combofix:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijV4lfh4t.txt

archet9 · Answer

Relance Malwarebytes pour voir s'il fontionne maintenant....
a+

archet9 · Answer

Hello Smart91

J'mincruste pas...je te laisse la suite ! ;-))

a+

gen-hackman · Answer

salut Radian essaie ceci :

https://forums.commentcamarche.net/forum/affich-17650116-infecte-par-bagle-help?page=2#46

Radian · Answer

Merci gen-hackman ca a fonctionné:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijhS2mWHQ.txt

Infecté par Bagle Help!!!

28 réponses

Discussions similaires