Virus qui bloque mode sans echec ( Bagle ) Fermé

Question

Bonjour , J'ai eu un sur mon PC je pense car quand je veut demarer en mon PC redemarre et sa continue et aussi j'essaye d'intaller avast mais bizarre je fait executer mais sa me le ferme et le setup qui permet de le démarre est supprimé je sais pas comment et il est pas dans ma corbeille et je ne les jamais supprimé j'ai essayé plusieurs méthode comme :

Malwarebytes' Anti-Malware
FindyKill 

Et Spybot je les installer mais je n'arrive pas a le démarre ...

gen-hackman · Accepted Answer

salut à tous 

oula Sality ne s'elimine pas comme ca ausssi simplement.... 

G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

roro04 · Answer

Salut!

On va faire un diagnostique de ton PC.


> Télécharges ZHPDiag (de Nicolas coolman) sur ton bureau.
> Un fois le téléchargement terminé, double cliques sur ZHPDiag.exe et suis les instructions d'installation. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
> Coches la case Créer une îcone sur le bureau lors de l'installation.
> A la fin de l'installation, ZHPDiag va se lancer tout seul.
> Cliques sur l'icône représentant une loupe.
> En fin de scan, enregistres le rapport sur ton Bureau. Pour cela, clique sur l'îcone représentant une disquette.

> Héberge le rapport sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

@+

Ibrar95 · Answer

Merci de ta reponse rapide Roro04 j'ai fait tout ce que tu ma dit et voilà le lien :

http://cjoint.com/11mi/AEpqZOAXmcP.htm

roro04 · Answer

Re,

Poste le rapport de FindyKill.

> Clique sur l'icône ZHPFix présente sur ton bureau. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
> Clique sur le H bleu.
> Copie/Colle le texte en gras ci-dessous.


[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified    
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified    
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified    
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified    
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified   
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified    
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: Modified    
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Arif\LOCALS~1\Temp\winhion.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\Arif\LOCALS~1\Temp\winhion.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Arif\LOCALS~1\Temp\winubffqf.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\Arif\LOCALS~1\Temp\winubffqf.exe

> Clique sur OK puis sur Tous.
> Clique sur Nettoyer.
> Poste le rapport qui s'affiche.

@+

Lyonnais92 · Answer

Salut,

poste aussi le rapport de Combofix

et celui de Malwarebytes (si tu as exécuté le logiciel).

Ibrar95 · Answer

Voilà le rapport de Findykill :


############################## | FindyKill V5.052 |

# User : Arif (Administrateurs) # COMPAQ-9D0914E6
# Update on 23/10/2010 by El Desaparecido
# Start at: 17:06:28 | 15/05/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# AMD Athlon(tm) 64 Processor 3200+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.100664421 [ Enabled | Updated ]

# C:\ # Disque fixe local # 109,6 Go (101,89 Go free) # NTFS
# D:\ # Disque fixe local # 39,44 Go (38,84 Go free) # FAT32
# E:\ # Disque CD-ROM

################## | Eléments infectieux |

C:\autorun.inf  
D:\autorun.inf  

################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\SYSTEM\...\SafeBoot\Minimal | Mode sans echec non fonctionnel !  
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  

################## | ! Fin du rapport # FindyKill V5.052 ! |

Voilà le rapport de ZHPFix :

Rapport de ZHPFix 1.12.3283 par Nicolas Coolman, Update du 14/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-15-05-2011-17-03-33.txt
Run by Arif at 15/05/2011 17:03:32
Windows XP Home Edition Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Arif\LOCALS~1\Temp\winhion.exe" [Enabled] .(.) -- C:\DOCUME~1\Arif\LOCALS~1\Temp\winhion.exe  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Arif\LOCALS~1\Temp\winubffqf.exe" [Enabled] .(.) -- C:\DOCUME~1\Arif\LOCALS~1\Temp\winubffqf.exe  => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: Modified  => Donnée supprimée avec succès

========== Fichier(s) ==========
c:\docume~1\arif\locals~1	emp\winhion.exe  => Supprimé et mis en quarantaine
c:\docume~1\arif\locals~1	emp\winubffqf.exe  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Valeur(s) du Registre
7 : Elément(s) de donnée du Registre
2 : Fichier(s)


End of the scan

Le rapport de Combofix :

ComboFix 11-05-14.01 - Arif 15/05/2011  16:13:08.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.958.565 [GMT 2:00]
Lancé depuis: c:\documents and settings\Arif\Mes documents\Downloads\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\autorun.inf
C:\cqaaym.pif
c:\documents and settings\Arif\Bureau\Setup.exe
C:\plnhfr.pif
D:\Autorun.inf
D:\ylsjrn.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AMSINT32
-------\Service_amsint32
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-04-15 au 2011-05-15  ))))))))))))))))))))))))))))))))))))
.
.
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-15 14:08 . 2011-05-15 14:08	747	----a-w-	C:\FindyKill_Upload_Me_COMPAQ-9D0914E6.zip
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Documents and Settings\Arif\Local Settings\Application Data\Google\Update\GoogleUpdate.exe"=
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - AMSINT32
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-789336058-1614895754-725345543-1004Core.job
- c:\documents and settings\Arif\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-05-15 13:18]
.
2011-05-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-789336058-1614895754-725345543-1004UA.job
- c:\documents and settings\Arif\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-05-15 13:18]
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-15 16:15
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Heure de fin: 2011-05-15  16:17:05 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-05-15 14:17
.
Avant-CF: 110 398 865 408 octets libres
Après-CF: 110 434 942 976 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect
.
- - End Of File - - 07E703CCF279EEF4E925460A1896AD84

Et pour Malwarebytes je les pas executer car j'arrive pas a allez en mode sans echec

roro04 · Answer

Ibrar95, fait Ca

Lyonnais92, désoler, pas vu.

Ibrar95 · Answer

Je les fait voilà ^^ :

Rapport de ZHPFix 1.12.3283 par Nicolas Coolman, Update du 14/05/2011 
Fichier d'export Registre : C:\ZHPExportRegistry-15-05-2011-17-03-33.txt 
Run by Arif at 15/05/2011 17:03:32 
Windows XP Home Edition Service Pack 2 (Build 2600) 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 

========== Valeur(s) du Registre ========== 
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Arif\LOCALS~1\Temp\winhion.exe" [Enabled] .(.) -- C:\DOCUME~1\Arif\LOCALS~1\Temp\winhion.exe => Valeur supprimée avec succès 
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Arif\LOCALS~1\Temp\winubffqf.exe" [Enabled] .(.) -- C:\DOCUME~1\Arif\LOCALS~1\Temp\winubffqf.exe => Valeur supprimée avec succès 

========== Elément(s) de donnée du Registre ========== 
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès 
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès 
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès 
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified => Donnée supprimée avec succès 
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified => Donnée supprimée avec succès 
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified => Donnée supprimée avec succès 
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: Modified => Donnée supprimée avec succès 

========== Fichier(s) ========== 
c:\docume~1\arif\locals~1	emp\winhion.exe => Supprimé et mis en quarantaine 
c:\docume~1\arif\locals~1	emp\winubffqf.exe => Supprimé et mis en quarantaine 


========== Récapitulatif ========== 
2 : Valeur(s) du Registre 
7 : Elément(s) de donnée du Registre 
2 : Fichier(s) 


End of the scan

roro04 · Answer

OK.
Réésaye malwarebytes.

Ibrar95 · Answer

Problème résolu je les supprimé avec malwarebytes merci encore :)

El Desaparecido · Answer

Hello Pascal ,

C'est El Desap ;)

Tu pourras faire uploader la quarantaine combo et zhpfix stp ? 

http://www.teamxscript.org/Upload.php

par avance merci ;)

Cédric .

gen-hackman · Answer

salut cedric ben au retour de la personne :)

Utilisateur anonyme · Answer

bah ouais ^^

si elle revient .... 

Sinon des files sality je veux bien pour test car je m'intéresse de plus en plus a cette merdouille , donc n'hésites pas uploader avec un titre comme gen-sality.zip ou autre ;)

Thanks & have fun ;)

roro04 · Answer

Oui, si il/elle revient.

> Télécharges FindyKill sur ton bureau.
> Lance-le. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
> Attends quelques secondes et tape F. Valide par Entrée.
> Tape 2 puis valide par la touche Entrée. 

Note: Le menu Démarrer et les icônes vont disparaitrent, c'est normal.

> La recherche s'effectue, cela peut prendre plusieurs minutes, ne touchez à rien.
> Quand l'analyse est terminée, appuis sur une touche pour ouvrir le rapport.
> Poste le rapport qui s'affiche alors. (Ctrl+A pour sélectionner, Ctrl+C pour copier et Ctrl+V pour coller sur le forum.

@+

Virus qui bloque mode sans echec ( Bagle )

14 réponses

Discussions similaires