Virus causant mode sans échec en écran bleu

salut

▶ Télécharge FindyKill sur ton bureau :

http://www.teamxscript.org/findykillTelechargement.html

! Déconnecte toi et ferme toutes applications en cours !

▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

▶ Double-clique (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Voici le rapport sur mon PC:
############################## | FindyKill V5.052 |

# User : Administrateur (Administrateurs) # PCRANJOK
# Start at: 11:37:32 | 06/03/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# Intel(R) Pentium(R) 4 CPU 2.80GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 19,53 Go (8,53 Go free) # NTFS
# D:\ # Disque fixe local # 49,81 Go (29,65 Go free) [Nouveau nom] # NTFS
# E:\ # Disque fixe local # 17,75 Go (9,86 Go free) # FAT32
# F:\ # Disque CD-ROM
# H:\ # Disque fixe local # 244,14 Go (160,2 Go free) [SOFTWARES] # NTFS
# I:\ # Disque fixe local # 244,14 Go (80,86 Go free) [MULTIMEDIAS] # NTFS
# J:\ # Disque fixe local # 244,14 Go (233,21 Go free) [DATAS] # NTFS
# L:\ # Disque fixe local # 199,08 Go (197,93 Go free) [DEVELOPMENT] # NTFS

################## | Eléments infectieux |

J:\autorun.inf
L:\autorun.inf

################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\SYSTEM\...\SafeBoot\Minimal | Mode sans echec non fonctionnel !

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.052 ! |

ok :)

relance => suppression => rapport :)

J'ai réussi à obtenir le .exe source: ce n'est pas du Bagle, c'est un W32.Sality plus exactement W32/Sality.dropper

Merci pour ton outil mais cela n'a enlevé que les autorun.inf qui sont revenus tout de suite après

j'ai demandé le rapport

de plus :


▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec


▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

selectionne tous les disques

▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv


▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Merci encore pour cet outil mais je vais m'en passer car j'ai décidé de tester le disque dur sur une autre machine ayant l'antivirus AVG

Les .exe sont tous infectés par le virus Win32/Tanatos.J!!!! Ce que je ne comprends pas c'est pourquoi le propagateur créé avec autorun.inf dans les racines des lecteurs c'est du Win32/Sality!!!???

En fait, pas tous les .exe mais explorer.exe et les fichiers dans C:\Windows\system32\dllcache sont épargnés!!!

Est-ce que quelqu'un peut me donner des explications de comment ce virus fonctionne?

ne fais pas l'andouille et ne le branche surtout pas dans autre pc sous peine de risquer de perdre les deux machines

avg ne pourra rien contre ca

G3?-?@¢??@?......Concepteur de List_Kill'em...

J'ai nettoyé mon disque dur avec les removal tools proposés par AVG: rmtanat.exe et ramslt.exe! En tout cas, c'est clean maintenant pour mon lecteur C: mais pour mon D:, j'ai arrêté pour le nettoyage du virus W32/Sality car ça prend trop de temps

Entre temps, j'ai aussi testé Dr Web CureIt et c'est vraiment génial non pas pour nettoyer ces 2 virus causant les infections de mes .exe (Sality et Tanatos) mais pour les autres non détectés: trojan, etc