Viruse higlieder Résolu

Question

Bonjour a tous, 

J'ai chopper le virus higlieder sur mon ordi, j'ai essayer de lancer une analyse avec avast mais lorsque je clique sur avast, il me dis win 32 non valide, de plus le son ne marche plus!

Si quelqu'un aurait la solution, merci d'avance!

archet9 · Answer

Bonjour  


T'a aussi oublié de dire que c'était en téléchargeant un Crack !!! 

 

Télécharges FindyKill de Chiquitine29 sur ton bureau :  

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe   

Mirroir :  

http://findykill.changelog.fr/Setup.exe  




! Déconnectes toi et ferme toutes applications en cours !  

* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .  



* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil . 
  
* Au menu principal choisis l'option " F " pour français et tapes sur [entrée] .  

* Au second menu Choisis l'option " 1 " (recherche) et tapes sur [entrée]  

 Laisses travailler l'outil et ne touche à rien ...  

--> Postes le rapport qui apparait à la fin , sur le forum ... 

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )  


a+ 

........

gadou69 · Answer

Voici le rapport

# H:\ # Disque amovible
# I:\ # Disque amovible
 
############################## | Processus infectieux stoppés  | 

"C:\Documents and Settings\gaetan\Application Data\drivers\winupgro.exe"  (4084)

################## | Eléments infectieux |

C:\WINDOWS\system32\srosa2.sys  
C:\WINDOWS\system32\wfsintwq.sys  
C:\Documents and Settings\gaetan\Application Data\drivers  
C:\Documents and Settings\gaetan\Application Data\drivers\downld  
C:\Documents and Settings\gaetan\Application Data\drivers\winupgro.exe  

################## | Registre |

[HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]  
[HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]  
[HKLM\SYSTEM\ControlSet004\Services\sK9Ou0s]  
[HKLM\SYSTEM\CurrentControlSet\Services\srosa]  
[HKLM\SYSTEM\ControlSet002\Services\srosa]  
[HKLM\SYSTEM\ControlSet004\Services\srosa]  
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]  
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]  
[HKCU\Software\bisoft]  
[HKCR\ed2k]  
[HKCU\Software\Classes\ed2k]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKU\S-1-5-21-3955905284-1087954166-530731288-1012\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKU\S-1-5-21-3955905284-1087954166-530731288-1012\Software\bisoft]  
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
[HKU\S-1-5-21-3955905284-1087954166-530731288-1012\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !  
 
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )  
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  

################## | ! Fin du rapport # FindyKill V5.043 ! |

archet9 · Answer

C'est bien une infection "BAGLE".....


! Déconnectes toi et ferme toutes applications en cours ! 

* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut . 

* Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option " F " pour français et tapes sur [entrée] . 

* Au second menu Choisis l'option " 2 " (Suppression) et tapes sur [entrée] 

 Laisses travailler l'outil et ne touche à rien ... 

--> Postes le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 


a+

gadou69 · Answer

L'analyse est fini mais aucun rapport ne s'affiche j'ai fait une recherche findykill.txt rien non plus...

archet9 · Answer

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 

a+

gadou69 · Answer

je tape ou c:\FindyKill.txt?

gadou69 · Answer

J'ai un dossier FyK, il y a tools et quarantine dans tools il y a un seul document texte j'ai ouvers il y a plein de chifre c'est pas sa hein?

archet9 · Answer

T'es sous XP  Vista Seven ?

gadou69 · Answer

XP

gadou69 · Answer

Le son est revenus mais toujours pas avast et aol spyware protection me detecte plus Hglieder

archet9 · Answer

Clic sur "poste de travail" et ds la fenêtre "rechercher" tape: 

c:\FindyKill.txt

a+

gadou69 · Answer

MDR toujours rien si je refais la suppression sa crain rien?

archet9 · Answer

Ca ne servira à rien, car il ne trouvera plus rien...je voulais le rapport car il nous aurait montré les fichiers corrompus à réinstaller!

==> Avast a du etre shooté ! donc à réinstaller...

Télécharge RSIT (de random/random) sur le bureau :

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur "Continue" dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse .
- Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/
et colle le lien généré.
Les rapports sont dans le dossier ici C:\rsit
a+

gadou69 · Answer

Le log:

http://www.cijoint.fr/cjlink.php?file=cj201005/cij1WNkYBz.txt

Info:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijWIn6BoV.txt

archet9 · Answer

Fais un scan avec cet antispyware : 
Malwarebytes + tutoriel
 
Tu l'installes; mets le a jour...(onglet mise a jour)
Click maintenant sur l'onglet recherche et coche la case :
 "Executer un examen rapide".
Puis click sur "rechercher". 
Laisses le scanner le pc...
A la fin du scan, clique sur Afficher les résultats 
Si des elements on ete trouvés : 
> click sur supprimer la selection.
si il t'es demandé de redemarrer > click sur "oui".
A la fin un rapport va s'ouvrir; 
sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp.  

a+

gadou69 · Answer

Type d'examen: Examen rapide
Elément(s) analysé(s): 160508
Temps écoulé: 9 minute(s), 52 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\bisoft (Worm.Bagle) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msupdate (Rootkit.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\AVP 2009 (Malware.Trace) -> No action taken.

Fichier(s) infecté(s):
C:\Documents and Settings\gaetan cacace\Local Settings\Application Data\vgatmwi_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\gaetan cacace\Local Settings\Application Data\vgatmwi_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\gaetan cacace\Local Settings\Application Data\vgatmwi.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\claude cacace\Local Settings\Temporary Internet Files\Content.IE5\GDW123CLegistry-doktor-06fr[1].exe (Rogue.Installer) -> No action taken.
C:\WINDOWS\system32
vs2.inf (Adware.EGDAccess) -> No action taken.

archet9 · Answer

-> No action taken.==> Rien n'a été supprimé !!!!

Relance MBAM et > click sur supprimer la selection. 

PS: ton pc est un bouillon de culture !!!

a+

gadou69 · Answer

Je sais j'ai fais expres de ne rien supr on sais jamais si je supr quelque chose qu'il ne faut pas...

voici le rapport après la supr

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4097

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/05/2010 19:40:58
mbam-log-2010-05-13 (19-40-58).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 160481
Temps écoulé: 9 minute(s), 32 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

archet9 · Answer

---> Télécharge ComboFix.exe de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\ 

---> Double-clique sur Combofix.exe 
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...". 
Accepte en cliquant sur "Oui" 

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt


a+

gadou69 · Answer

Apres l'avoir redemarer je ferais comment pour reactiver l'anti virus etc? parce qu'il ne marche toujours pas je le retelecharger?

archet9 · Answer

Lance Combofix....pour tes protections on verra apres .

a+

gadou69 · Answer

voila fini le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijlh8lMCb.txt
 je n'est toujours pas activer mon antivirus

archet9 · Answer

Re,

Rarement vu un pc aussi pourri !!!!!

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!


Relance Combofix et installe cette console quand il te le demandera....
Colle le rapport généré stp

gadou69 · Answer

Toujours pareil, il me demande si je veux installer la console de recuperation je clique sur oui et il m'affiche un message d'erreur...

archet9 · Answer

Télécharge List_Kill'em et enregistre le sur ton bureau
 
http://sd-1.archive-host.com/...

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation 

une fois terminée , clic sur "terminer" et le programme se lancera seul 

choisis choisis l'option CLEAN 
un icone blanc et noir va s'afficher sur le bureau , il te servira à rappeler le programme si besoin. 

 laisse travailler l'outil 

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué. 

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan 

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED" 

a+

gadou69 · Answer

A quoi sa sert de fair tous sa?

voici le rapport:

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.0.1 ¤¤¤¤¤¤¤¤¤¤ 
 
User : gaetan (Administrateurs) 
Update on 09/05/2010 by g3n-h@ckm@n ::::: 09.15
Start at: 21:45:21 | 13/05/2010

AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 100512-1] 4.8.1335 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 72,65 Go (26,72 Go free) [ACER] | FAT32
D:\ -> Disque fixe local | 73,43 Go (73,41 Go free) [ACERDATA] | FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\AOLbox\Gateway\wlancfg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache 
Quarantined & Deleted !! : C:\Program Files\AskSearch 
Quarantined & Deleted !! : C:\Program Files\DAEMON Tools Toolbar 
Quarantined & Deleted !! : C:\Program Files\Mozilla FireFox\Components\AskSearch.js 
Quarantined & Deleted !! : C:\WINDOWS\003068_.tmp 
Quarantined & Deleted !! : C:\WINDOWS\DUMP3e60.tmp 
Quarantined & Deleted !! : C:\WINDOWS\_delis32.ini 
 
Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET51A.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\JET6BF8.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\JET62B1.tmp 
Quarantined & Deleted !! : C:\WINDOWS\UA000059.DLL 
Quarantined & Deleted !! : C:\Documents and Settings\gaetan\Application Data\Search Settings 
 
=======
Hosts :
=======

127.0.0.1       localhost   

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}  
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives  
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives  
Deleted : "HKCU\Software\Grand Virtual"  
Deleted : "HKCU\Software\Local AppWizard-Generated Applications\winupgro"  
Deleted : "HKCU\software\microsoft\internet explorer\searchscopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}"  
Deleted : "HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
Deleted : "HKLM\Software\Search Settings"  
Deleted : HKCU\Software\AppDataLow\Software\Dealio  
Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{94C3BB3A-56A1-43DE-A242-8B41F46E97EF}  
Deleted : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_mchInjDrv  
Deleted : HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_mchInjDrv  
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.com/?gws_rd=ssl
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Search Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	REG_DWORD      	1 (0x1) 
FirewallDisableNotify	REG_DWORD      	0 (0x0) 
UpdatesDisableNotify	REG_DWORD      	0 (0x0) 
AntiVirusOverride	REG_DWORD      	1 (0x1) 
FirewallOverride	REG_DWORD      	1 (0x1) 
AntiVirusDisableNotify	REG_DWORD      	0 (0x0) 
 
========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

J'ai toujours reactiver mon anti virus!

archet9 · Answer

J'ai toujours reactiver mon anti virus!


?????

Fais le ....

Un nouveau RSIT stp...

==> DSL , dodo pour ma part car boulot demain ...donc réponse demain soir !

a+

Viruse higlieder

27 réponses

Votre réponse

Newsletters