PC infecté ? beagle ??
Résolu
loloeaz
-
loloeaz -
loloeaz -
Bonjour,
J'ai visiblement mon pc infecté (infecté c'est sur je veux dire) par beagle (ou une variante).
symptomes :
- internet indisponible (tous navigateurs) mais la connexion est bien active
- client messagerie inopérent
- avast non reconnu
- un message d'erreur a l'ouverture (Socket Error #10061 Connection refused) - peut etre tout simplement parce que ma connexion est bloquée .. mais je poste au cas ou
J'ai acces (maintenant) à internet en mode sans echec avec prise en charge du reseau.
Si quelqu'un veut bien m'aider en me guidant a pas sur le quoi faire et comment, comment utiliser les résultats...etc . (egalement en precisant si la mani doit se faire en mode de demarrage normal ou sans echec)
Merci de l'aide généreuse et amicale.
J'ai visiblement mon pc infecté (infecté c'est sur je veux dire) par beagle (ou une variante).
symptomes :
- internet indisponible (tous navigateurs) mais la connexion est bien active
- client messagerie inopérent
- avast non reconnu
- un message d'erreur a l'ouverture (Socket Error #10061 Connection refused) - peut etre tout simplement parce que ma connexion est bloquée .. mais je poste au cas ou
J'ai acces (maintenant) à internet en mode sans echec avec prise en charge du reseau.
Si quelqu'un veut bien m'aider en me guidant a pas sur le quoi faire et comment, comment utiliser les résultats...etc . (egalement en precisant si la mani doit se faire en mode de demarrage normal ou sans echec)
Merci de l'aide généreuse et amicale.
A voir également:
- PC infecté ? beagle ??
- Reinitialiser pc - Guide
- Pc lent - Guide
- Test performance pc - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
60 réponses
bonjour
Je ne t'abandonne pas ne t'inquiète pas ,les discussions que je suis s'affichent en gras ;-)
Nous allons vérifier un fichier supposé infecté sur virus total de cette manière:
=> rends toi sur https://www.virustotal.com/gui/
=> clique sur "parcourir" et dans le champ saisis le chemin vers le fichier possiblement "infecté" soit :
C:\Windows\SysNative\CleanMFT64.exe
=> clique sur envoyer le fichier
Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). tu peux demander à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier"
=> fais un copié/collé du résultat dans le bloc note
=> héberge ensuite ce rapport sur:
http://www.cijoint.fr et poste moi le lien</gras>
Je ne t'abandonne pas ne t'inquiète pas ,les discussions que je suis s'affichent en gras ;-)
Nous allons vérifier un fichier supposé infecté sur virus total de cette manière:
=> rends toi sur https://www.virustotal.com/gui/
=> clique sur "parcourir" et dans le champ saisis le chemin vers le fichier possiblement "infecté" soit :
C:\Windows\SysNative\CleanMFT64.exe
=> clique sur envoyer le fichier
Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). tu peux demander à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier"
=> fais un copié/collé du résultat dans le bloc note
=> héberge ensuite ce rapport sur:
http://www.cijoint.fr et poste moi le lien</gras>
Merci d'être toujours la surtout encore..
ok je savais pas qu'on pouvait suivre les discussions comme ça.. Merci
ok je vais suivre ton indication pour Virustotal et je te tiens au courant.
Juste une chose : lors de l'analyse via Findykill (voir mon post d'hier) il y a eu une detection d'un fichier supposé infecté :
################## | Eléments infectieux |
C:\Windows\prefetch\WINUPGRO.EXE-C12B80B5.pf
dans ton indication c'était marqué de ne pas faire de nettoyage, donc je n'ai rien fait.; c'est correct ??
J'attends ta réponse avant de lancer l'analyse via Virustotal .
ok je savais pas qu'on pouvait suivre les discussions comme ça.. Merci
ok je vais suivre ton indication pour Virustotal et je te tiens au courant.
Juste une chose : lors de l'analyse via Findykill (voir mon post d'hier) il y a eu une detection d'un fichier supposé infecté :
################## | Eléments infectieux |
C:\Windows\prefetch\WINUPGRO.EXE-C12B80B5.pf
dans ton indication c'était marqué de ne pas faire de nettoyage, donc je n'ai rien fait.; c'est correct ??
J'attends ta réponse avant de lancer l'analyse via Virustotal .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
le fichier est légitime
je ne t'oublies pas mais, pour tout te dire je bloque un peu sur ton problème,je suis en train de prendre des renseignements auprès de la communauté des "helpers"
certains outils ont du mal sur Win7_64b
je te fais signe dès que j'ai du nouveau
je ne t'oublies pas mais, pour tout te dire je bloque un peu sur ton problème,je suis en train de prendre des renseignements auprès de la communauté des "helpers"
certains outils ont du mal sur Win7_64b
je te fais signe dès que j'ai du nouveau
ok pas de probleme bien sur.
juste une remarque qui aussi guidera ma connaissance : le fait que en mode sans echec je n'ai pas ce souci de connexion; c'est bien que quelque chose se charge en mode normal, non ? pas moyen d'anlyser tous les process ou fichiers annexes qui se chargent au démarrage ?
on ne s'occupe toujours pas du prefetch ? aucun interet selon toi ?
au cas ou on trouverait pas de solution, je pense que le we prochain je me resoudrai a une reinstall complete (j'ai une partition pour sur mon disque ) + les cd.
je guette de tes news.
juste une remarque qui aussi guidera ma connaissance : le fait que en mode sans echec je n'ai pas ce souci de connexion; c'est bien que quelque chose se charge en mode normal, non ? pas moyen d'anlyser tous les process ou fichiers annexes qui se chargent au démarrage ?
on ne s'occupe toujours pas du prefetch ? aucun interet selon toi ?
au cas ou on trouverait pas de solution, je pense que le we prochain je me resoudrai a une reinstall complete (j'ai une partition pour sur mon disque ) + les cd.
je guette de tes news.
oui quelque chose bloque au démarrage,je vois bien les processus lancés sur les rapports de ZHPDiag et d'ailleurs à ce sujet refais moi un ZHPdiag en mode normal Stp?
supprime le fichier en question dans le prefetch si tu le vois en manuel sinon on peut se servir d'un log
A+
supprime le fichier en question dans le prefetch si tu le vois en manuel sinon on peut se servir d'un log
A+
j'ai supprimé manuellement, sans pb, le fichier dans prefetch
ci-joint le ZHPdiag :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijlTJiJZJ.txt
ci-joint le ZHPdiag :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijlTJiJZJ.txt
Quand je reviens en mode normal outre le message lié au Socket Error #10061 Connection refused, j'ai aussi souvent un applicatifqui ne veut pas s'arreter et je dois forcer pour redemarrer - l'applicatif est désqigné par "launcher" mais aucun idée a quoi ça correspond.
merci pour ses précisions, je regarde ça et ........Allez les bleus !;-)
bonjour lololeaz
tu vas désactiver ton spybot et repasser findyKill
désactive le Tea timer de Spybot, pour cela:
=>Lancer Spybot
=> Cliquer sur Mode, puis cocher Mode avancé
=> Cliquer sur Outils puis sur Résident
=> Décocher la case Résident "Tea Timer"
=>fermer spybot
=> sous vista ou win7; Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
=> tutoriel nettoyage : http://www.teamxscript.org/findykillNettoyage.html
=> Branche toutes tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
=> Fais clic droit sur le raccourci FindyKill sur ton bureau
=>Choisis exécuter en tant qu'administrateur
=> Au menu principal,choisis l'option 2 (Suppression)
/!\ il y aura 2 redémarrage, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué"
/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c'est normal !
=> ensuite post le rapport "FindyKill.txt"
=> :!: FindyKill te proposera d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php]
=> Ce dossier a été créé par FindyKill et est enregistré sur ton bureau.
=> Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de FindyKill dans ses recherches.
=> Il faut sélectionner "FindyKill" dans le menu déroulant
=> Merci d'avance pour ta contribution !!
[*] Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
glops31 /-----------\ Une désinfection inachevée est inutile... /------------
----------------------/ Qui prend conseil est près de bien faire.\------------
tu vas désactiver ton spybot et repasser findyKill
désactive le Tea timer de Spybot, pour cela:
=>Lancer Spybot
=> Cliquer sur Mode, puis cocher Mode avancé
=> Cliquer sur Outils puis sur Résident
=> Décocher la case Résident "Tea Timer"
=>fermer spybot
=> sous vista ou win7; Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
=> tutoriel nettoyage : http://www.teamxscript.org/findykillNettoyage.html
=> Branche toutes tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
=> Fais clic droit sur le raccourci FindyKill sur ton bureau
=>Choisis exécuter en tant qu'administrateur
=> Au menu principal,choisis l'option 2 (Suppression)
/!\ il y aura 2 redémarrage, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué"
/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c'est normal !
=> ensuite post le rapport "FindyKill.txt"
=> :!: FindyKill te proposera d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php]
=> Ce dossier a été créé par FindyKill et est enregistré sur ton bureau.
=> Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de FindyKill dans ses recherches.
=> Il faut sélectionner "FindyKill" dans le menu déroulant
=> Merci d'avance pour ta contribution !!
[*] Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
glops31 /-----------\ Une désinfection inachevée est inutile... /------------
----------------------/ Qui prend conseil est près de bien faire.\------------
bonjour, voici le rapport,
j'ai vraiment connecté toutes les sources externes que je pouvais (je suis aussi surpris avec le lecteur K mentionné par ailleurs quie je ne connais vraiment...)
############################## | FindyKill V5.052 |
# User : LesL4 (Administrateurs) # LESL4-PC
# Update on 23/10/2010 by El Desaparecido
# Start at: 20:39:56 | 18/11/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# Intel(R) Core(TM) i5 CPU 650 @ 3.20GHz
# Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled
# A:\ # Disque CD-ROM
# C:\ # Disque fixe local # 461,49 Go (399,44 Go free) [WIN7&PROGRAMMES] # NTFS
# D:\ # Disque fixe local # 97,66 Go (3,08 Go free) [PERSO] # NTFS
# E:\ # Disque fixe local # 287,49 Go (64,31 Go free) [INTERNET] # NTFS
# F:\ # Disque fixe local
# G:\ # Disque amovible # 3,72 Go (3,62 Go free) [FLASH DRIVE] # NTFS
# Z:\ # Disque fixe local # 11,54 Go (1,62 Go free) [FACTORY_IMAGE] # NTFS
################## | Eléments infectieux |
Supprimé ! C:\Windows\prefetch\WINUPGRO.EXE-C12B80B5.pf
################## | CRC32 ... |
################## | Registre |
################## | Etat |
# Mode sans echec : OK
# Affichage des fichiers cachés : OK
# Uac : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Fichiers corrompus |
... OK !
################## | Upload |
Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_LesL4-PC.zip : http://www.teamxscript.org/Sample/Upload.php
Merci pour votre contribution .
################## | ! Fin du rapport # FindyKill V5.052 ! |
j'ai uploader le dossier zip egalement
j'ai vraiment connecté toutes les sources externes que je pouvais (je suis aussi surpris avec le lecteur K mentionné par ailleurs quie je ne connais vraiment...)
############################## | FindyKill V5.052 |
# User : LesL4 (Administrateurs) # LESL4-PC
# Update on 23/10/2010 by El Desaparecido
# Start at: 20:39:56 | 18/11/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# Intel(R) Core(TM) i5 CPU 650 @ 3.20GHz
# Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled
# A:\ # Disque CD-ROM
# C:\ # Disque fixe local # 461,49 Go (399,44 Go free) [WIN7&PROGRAMMES] # NTFS
# D:\ # Disque fixe local # 97,66 Go (3,08 Go free) [PERSO] # NTFS
# E:\ # Disque fixe local # 287,49 Go (64,31 Go free) [INTERNET] # NTFS
# F:\ # Disque fixe local
# G:\ # Disque amovible # 3,72 Go (3,62 Go free) [FLASH DRIVE] # NTFS
# Z:\ # Disque fixe local # 11,54 Go (1,62 Go free) [FACTORY_IMAGE] # NTFS
################## | Eléments infectieux |
Supprimé ! C:\Windows\prefetch\WINUPGRO.EXE-C12B80B5.pf
################## | CRC32 ... |
################## | Registre |
################## | Etat |
# Mode sans echec : OK
# Affichage des fichiers cachés : OK
# Uac : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Fichiers corrompus |
... OK !
################## | Upload |
Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_LesL4-PC.zip : http://www.teamxscript.org/Sample/Upload.php
Merci pour votre contribution .
################## | ! Fin du rapport # FindyKill V5.052 ! |
j'ai uploader le dossier zip egalement
bonjour
Pour continuer il faudrait que tu ailles dans le gestionnaire des tâches planifiées (GTP) de ton windows:
bouton Windows / "Panneau de configuration" / "Système et maintenance" (ou "Système et sécurité"), puis tout en bas, dans la rubrique "Outils d'administration", clique sur "Tâches panifiées".
Tu supprimes toutes les tâches qui n'ont plus de fichiers (no file)et qui sont de ce fait en échec.
pour t' aider en voici la liste relevé sur le rapport:
[MD5.00000000000000000000000000000000] [APT] [CreateChoiceProcessTask] (.Pas de propriétaire.) -- C:\Windows\System32\browserchoice.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [TuneUpUtilities_Task_BkGndMaintenance] (.Pas de propriétaire.) -- C:\Program Files (x86)\Analyse Securite\TuneUp Utilities 2010\OneClick.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{58EEB0A2-B39E-4D8C-B6FE-002FF28FEBED}] (.Pas de propriétaire.) -- K:\ClickMe.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{5EC5C5BF-EDC0-4366-9C07-268C60E74881}] (.Pas de propriétaire.) -- D:\FlashTool_E2\FlashUSB\Uninstall.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{C00899BC-43C5-4B7F-A83C-05D4401173B7}] (.Pas de propriétaire.) -- C:\Users\LesL4\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\27JAFOLY\GetFile[1].exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{C0FA1991-D29C-482A-B152-228B396DB74B}] (.Pas de propriétaire.) -- C:\Users\LesL4\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WURH6UVE\epson31774eu[1].exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{C6CB412A-96D7-4A2C-89F4-786FD10783F2}] (.Pas de propriétaire.) -- C:\Users\LesL4\Desktop\gusetupnew.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{C7894F2B-5CDB-4460-9EC6-14F8041C3EA4}] (.Pas de propriétaire.) -- E:\a trier\Pinnacle Studio Ultimate v12 Final\Pinnacle.pixie.activation.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{DDAD3E6B-FADF-41BB-AD51-D5AC98AA429E}] (.Pas de propriétaire.) -- E:\railroad\class.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{E6B66AD0-1516-4059-8622-9F171F45D973}] (.Pas de propriétaire.) -- C:\Users\LesL4\Desktop\ComboFix.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{FBA6672F-2B09-4CFD-8303-DC473BBED5E0}] (.Pas de propriétaire.) -- C:\Users\LesL4\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EABLHMFN\B2CAppSetup[1].exe (.not file.)
glops31 /-----------\ Une désinfection inachevée est inutile... /------------
----------------------/ Qui prend conseil est près de bien faire.\------------
Pour continuer il faudrait que tu ailles dans le gestionnaire des tâches planifiées (GTP) de ton windows:
bouton Windows / "Panneau de configuration" / "Système et maintenance" (ou "Système et sécurité"), puis tout en bas, dans la rubrique "Outils d'administration", clique sur "Tâches panifiées".
Tu supprimes toutes les tâches qui n'ont plus de fichiers (no file)et qui sont de ce fait en échec.
pour t' aider en voici la liste relevé sur le rapport:
[MD5.00000000000000000000000000000000] [APT] [CreateChoiceProcessTask] (.Pas de propriétaire.) -- C:\Windows\System32\browserchoice.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [TuneUpUtilities_Task_BkGndMaintenance] (.Pas de propriétaire.) -- C:\Program Files (x86)\Analyse Securite\TuneUp Utilities 2010\OneClick.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{58EEB0A2-B39E-4D8C-B6FE-002FF28FEBED}] (.Pas de propriétaire.) -- K:\ClickMe.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{5EC5C5BF-EDC0-4366-9C07-268C60E74881}] (.Pas de propriétaire.) -- D:\FlashTool_E2\FlashUSB\Uninstall.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{C00899BC-43C5-4B7F-A83C-05D4401173B7}] (.Pas de propriétaire.) -- C:\Users\LesL4\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\27JAFOLY\GetFile[1].exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{C0FA1991-D29C-482A-B152-228B396DB74B}] (.Pas de propriétaire.) -- C:\Users\LesL4\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WURH6UVE\epson31774eu[1].exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{C6CB412A-96D7-4A2C-89F4-786FD10783F2}] (.Pas de propriétaire.) -- C:\Users\LesL4\Desktop\gusetupnew.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{C7894F2B-5CDB-4460-9EC6-14F8041C3EA4}] (.Pas de propriétaire.) -- E:\a trier\Pinnacle Studio Ultimate v12 Final\Pinnacle.pixie.activation.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{DDAD3E6B-FADF-41BB-AD51-D5AC98AA429E}] (.Pas de propriétaire.) -- E:\railroad\class.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{E6B66AD0-1516-4059-8622-9F171F45D973}] (.Pas de propriétaire.) -- C:\Users\LesL4\Desktop\ComboFix.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{FBA6672F-2B09-4CFD-8303-DC473BBED5E0}] (.Pas de propriétaire.) -- C:\Users\LesL4\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EABLHMFN\B2CAppSetup[1].exe (.not file.)
glops31 /-----------\ Une désinfection inachevée est inutile... /------------
----------------------/ Qui prend conseil est près de bien faire.\------------
comment se fait il qu' il y avait une trace de combofix dans les tâches planifiées, as tu utilisé ce log?
avant de venir crier au secours, oui j'ai tenté d'utiliser combofix.
mais je n'avais pu vu que j'ai eu un message d'erreur qui me disait que ce n'etait pas la bonne version pour moi (pas 64bits je suppose)
mais je n'avais pu vu que j'ai eu un message d'erreur qui me disait que ce n'etait pas la bonne version pour moi (pas 64bits je suppose)
