Viruse higlieder

Résolu
gadou69 Messages postés 51 Statut Membre -  
 archet9 -
Bonjour a tous,

J'ai chopper le virus higlieder sur mon ordi, j'ai essayer de lancer une analyse avec avast mais lorsque je clique sur avast, il me dis win 32 non valide, de plus le son ne marche plus!

Si quelqu'un aurait la solution, merci d'avance!

27 réponses

  • 1
  • 2
  1. archet9
     
    Bonjour

    T'a aussi oublié de dire que c'était en téléchargeant un Crack !!!

    Télécharges FindyKill de Chiquitine29 sur ton bureau :

    http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe

    Mirroir :

    http://findykill.changelog.fr/Setup.exe

    ! Déconnectes toi et ferme toutes applications en cours !

    * Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

    * Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

    * Au menu principal choisis l'option " F " pour français et tapes sur [entrée] .

    * Au second menu Choisis l'option " 1 " (recherche) et tapes sur [entrée]

    Laisses travailler l'outil et ne touche à rien ...

    --> Postes le rapport qui apparait à la fin , sur le forum ...

    ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

    a+

    ........
    0
  2. gadou69 Messages postés 51 Statut Membre
     
    Voici le rapport

    # H:\ # Disque amovible
    # I:\ # Disque amovible

    ############################## | Processus infectieux stoppés |

    "C:\Documents and Settings\gaetan\Application Data\drivers\winupgro.exe" (4084)

    ################## | Eléments infectieux |

    C:\WINDOWS\system32\srosa2.sys
    C:\WINDOWS\system32\wfsintwq.sys
    C:\Documents and Settings\gaetan\Application Data\drivers
    C:\Documents and Settings\gaetan\Application Data\drivers\downld
    C:\Documents and Settings\gaetan\Application Data\drivers\winupgro.exe

    ################## | Registre |

    [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
    [HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]
    [HKLM\SYSTEM\ControlSet004\Services\sK9Ou0s]
    [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
    [HKLM\SYSTEM\ControlSet002\Services\srosa]
    [HKLM\SYSTEM\ControlSet004\Services\srosa]
    [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
    [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
    [HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S]
    [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
    [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]
    [HKCU\Software\bisoft]
    [HKCR\ed2k]
    [HKCU\Software\Classes\ed2k]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
    [HKU\S-1-5-21-3955905284-1087954166-530731288-1012\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
    [HKU\S-1-5-21-3955905284-1087954166-530731288-1012\Software\bisoft]
    [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
    [HKU\S-1-5-21-3955905284-1087954166-530731288-1012\Software\Local AppWizard-Generated Applications\winupgro]

    ################## | Etat |

    # Affichage des fichiers cachés : OK

    Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

    # (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
    # EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
    # (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

    ################## | ! Fin du rapport # FindyKill V5.043 ! |
    0
  3. archet9
     
    C'est bien une infection "BAGLE".....

    ! Déconnectes toi et ferme toutes applications en cours !

    * Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

    * Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

    * Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

    * Au menu principal choisis l'option " F " pour français et tapes sur [entrée] .

    * Au second menu Choisis l'option " 2 " (Suppression) et tapes sur [entrée]

    Laisses travailler l'outil et ne touche à rien ...

    --> Postes le rapport qui apparait à la fin , sur le forum ...

    ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

    a+
    0
  4. gadou69 Messages postés 51 Statut Membre
     
    L'analyse est fini mais aucun rapport ne s'affiche j'ai fait une recherche findykill.txt rien non plus...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. archet9
     
    ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

    a+

    0
  7. gadou69 Messages postés 51 Statut Membre
     
    je tape ou c:\FindyKill.txt?
    0
  8. gadou69 Messages postés 51 Statut Membre
     
    J'ai un dossier FyK, il y a tools et quarantine dans tools il y a un seul document texte j'ai ouvers il y a plein de chifre c'est pas sa hein?
    0
  9. gadou69 Messages postés 51 Statut Membre
     
    XP
    0
  10. gadou69 Messages postés 51 Statut Membre
     
    Le son est revenus mais toujours pas avast et aol spyware protection me detecte plus Hglieder
    0
  11. archet9
     
    Clic sur "poste de travail" et ds la fenêtre "rechercher" tape:

    c:\FindyKill.txt

    a+

    0
  12. gadou69 Messages postés 51 Statut Membre
     
    MDR toujours rien si je refais la suppression sa crain rien?
    0
  13. archet9
     
    Ca ne servira à rien, car il ne trouvera plus rien...je voulais le rapport car il nous aurait montré les fichiers corrompus à réinstaller!

    ==> Avast a du etre shooté ! donc à réinstaller...

    Télécharge RSIT (de random/random) sur le bureau :

    - Double clique sur RSIT.exe qui est sur le bureau
    - Clique sur "Continue" dans la fenêtre
    - RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
    - Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse .
    - Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/
    et colle le lien généré.
    Les rapports sont dans le dossier ici C:\rsit
    a+

    0
  14. gadou69 Messages postés 51 Statut Membre
     
    Le log:

    http://www.cijoint.fr/cjlink.php?file=cj201005/cij1WNkYBz.txt

    Info:

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijWIn6BoV.txt
    0
  15. archet9
     
    Fais un scan avec cet antispyware :
    Malwarebytes + tutoriel

    Tu l'installes; mets le a jour...(onglet mise a jour)
    Click maintenant sur l'onglet recherche et coche la case :
    "Executer un examen rapide".
    Puis click sur "rechercher".
    Laisses le scanner le pc...
    A la fin du scan, clique sur Afficher les résultats
    Si des elements on ete trouvés :
    > click sur supprimer la selection
    .
    si il t'es demandé de redemarrer > click sur "oui".
    A la fin un rapport va s'ouvrir;
    sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
    Copies et colles le rapport stp.

    a+
    0
  16. gadou69 Messages postés 51 Statut Membre
     
    Type d'examen: Examen rapide
    Elément(s) analysé(s): 160508
    Temps écoulé: 9 minute(s), 52 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 4
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\bisoft (Worm.Bagle) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt (Trojan.Downloader) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msupdate (Rootkit.Agent) -> No action taken.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\Documents and Settings\All Users\AVP 2009 (Malware.Trace) -> No action taken.

    Fichier(s) infecté(s):
    C:\Documents and Settings\gaetan cacace\Local Settings\Application Data\vgatmwi_navps.dat (Adware.Navipromo.H) -> No action taken.
    C:\Documents and Settings\gaetan cacace\Local Settings\Application Data\vgatmwi_nav.dat (Adware.Navipromo.H) -> No action taken.
    C:\Documents and Settings\gaetan cacace\Local Settings\Application Data\vgatmwi.dat (Adware.Navipromo.H) -> No action taken.
    C:\Documents and Settings\claude cacace\Local Settings\Temporary Internet Files\Content.IE5\GDW123CL\registry-doktor-06fr[1].exe (Rogue.Installer) -> No action taken.
    C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.
    0
  17. archet9
     
    -> No action taken.==> Rien n'a été supprimé !!!!

    Relance MBAM et > click sur supprimer la selection.

    PS: ton pc est un bouillon de culture !!!

    a+

    0
  18. gadou69 Messages postés 51 Statut Membre
     
    Je sais j'ai fais expres de ne rien supr on sais jamais si je supr quelque chose qu'il ne faut pas...

    voici le rapport après la supr

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4097

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    13/05/2010 19:40:58
    mbam-log-2010-05-13 (19-40-58).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 160481
    Temps écoulé: 9 minute(s), 32 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  19. archet9
     
    ---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

    ---> Double-clique sur Combofix.exe
    Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
    Accepte en cliquant sur "Oui"

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    a+
    0
  20. gadou69 Messages postés 51 Statut Membre
     
    Apres l'avoir redemarer je ferais comment pour reactiver l'anti virus etc? parce qu'il ne marche toujours pas je le retelecharger?
    0
  • 1
  • 2