Infecté par nideiect & p-e aussi par bagle!

Résolu
Ravens Messages postés 111 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
Voilà la panique depuis quelques jours!
J'ai téléchargé un fichier sur le réseau Emule (Promis pas du porno et rien d'illégal ^^) et ce lorsque mon antivirus pour une raison obscure était désactivé. Depuis mon réseau Wifi ne détecte plus aucun serveur alors qu'il y en a 4 dans les parages. Plus aucun de mes antivirus ne démarre!! J'ai tenté de désinstaller les cartes réseau et redémarrer le laptop pour une réinstallation des drivers automatique, rien donc le soucis ne vient pas de là. Apparemment ce virus désactive des options dans les services et le noyau :S Je m'explique : Le Service de configuration automatique WLAN est désactivé et lorsque je tente de l'activer il me réponds :"erreur 1608 : le service ou le groupe de dépendance n'a pas pu démarrer." Il y a aussi un fichier nommé "nideiect.com" qui se lance sur tous les USB que je connecte et je n'ai plus accès aux fichiers cachés. Que dois-je faire? Y a-t-il que le virus "nideiect.com" qui est en cause?

Merci d'avance
Configuration: Vista
Firefox 3.0.2

33 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Salut,

    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Vas dans "Démarrer" puis Panneau de configuration.
    - Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs.
    - Clique sur Continuer.
    - Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
    - Valide par OK et redémarre.

    ensuite branche toutes tes clés usb sans les ouvirs

    Telecharge maintenant FindyKill sur ton bureau :

    --> Lance l installation avec les parametres par default

    --> Fais un clic droit sur le raccourci FindyKill sur ton bureau

    --> Choisi executer en tant qu administrateur

    --> Au menu principal,choisi l option 1 (Recherche)

    Post le rapport FindyKill.txt

    note : le rapport FindyKill.txt est sauvegardé a la racine du disque
    0
  2. Ravens Messages postés 111 Statut Membre 12
     
    Voilà pour le rapport

    ----------------- FindyKill V3.085 ------------------

    * User : Rave Platform : Windows Vista
    * Emplacement : C:\Program Files\FindyKill\FindyKill.exe
    * Outils Mis a jours le 18/09/08 par Chiquitine29
    * Recherche effectuée à 21:09:17 le ven. 19/09/2008

    ----------------- *** Recherche *** ------------------

    »»»» Presence des fichiers dans C:

    »»»» Presence des fichiers dans C:\Windows

    »»»» Presence des fichiers dans C:\Windows\Prefetch

    »»»» Presence des fichiers dans C:\Windows\system32

    »»»» Presence des fichiers dans C:\Windows\system32\drivers

    Présent ! - C:\Windows\system32\drivers\srosa.sys
    Présent ! - C:\Windows\system32\drivers\hldrrr.exe
    Présent ! - "C:\Windows\system32\drivers\downld"

    »»»» Presence des fichiers dans C:\Users\Rave\AppData\Roaming

    »»»» Registre :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    FizzBoost REG_SZ C:\Program Files\FizzBoost\FizzBoost\FizzBoost.exe
    SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    SynTPStart REG_SZ C:\Program Files\Synaptics\SynTP\SynTPStart.exe
    NvSvc REG_SZ RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    NvMediaCenter REG_SZ RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Sidebar REG_SZ C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    WindowsWelcomeCenter REG_SZ rundll32.exe oobefldr.dll,ShowWelcomeCenter
    DeskSpace REG_SZ C:\Program Files\DeskSpace\deskspace.exe
    Creative Detector REG_SZ "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
    Gestionnaire Antidote.exe REG_SZ C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe
    ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe
    Eset GUI REG_SZ C:\Program Files\ESET\ESET Smart Security\egui.exe
    (par d‚faut) REG_SZ
    fsm REG_SZ
    xNeat Clipboard Manager REG_SZ C:\Program Files\xNeat Clipboard Manager\xNeatClipMngr.exe
    Ripplex Address Book REG_SZ "C:\Program Files\Ripplex\Address Book\RipplexAddressBook.exe" --startup

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled
    »»»» Presence d infections dans Support amovible :

    Présent ! - H:\autorun.inf
    Présent ! - H:\nideiect.com

    ----------- ! Recherche realisée avec success ! -----------

    Pour darkcrystal33 merci de ton aide mais mon portable sur lequel j'ai le virus n'accède plus à internet :S
    0
    1. darkcrystal33 Messages postés 3815 Statut Contributeur 193
       
      Alors essaye ça:

      Télécharge Dr.Web CureIt! ici: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

      (clé usb/cd pour le tranfert)

      Redémarre le portable infecté pc en mode sans échec.

      aide pour le mode sans échec
      :"http://assiste.com.free.fr/... "

      http://www.vista-xp.fr/forum/topic93.html

      Lance Dr.Web CureIt!, accepte une analyse rapide, et répare/supprime les virus trouvés,
      et effectue ensuite une analyse compléte, avec réparation/suppression des virus trouvés.

      Redémarre ton pc avec ta session habituelle.

      ***
      ou ça:

      télécharge: http://dl.antivir.de/down/vdf/rescuecd/rescuecd.exe

      tu insére en fonction de ton materiel disponible un cd/cdrw/dvd/dvdrw vierge dans ton graveur

      tu execute le programme rescuecd.exe

      tu clique sur le bouton "burncd"

      ...le programme grave le cd, tu patiente...

      QUAND tu as une fenêtre pop up qui dit: "the cd as been created successfully..." et que le tiroir du graveur est ouvert

      met le cd dans le portable infecté
      et reboote le (modifie l'ordre de boot dans le bios si ton pc ne boote pas en premier sur le lecteur cd)

      puis scanne le
      -1
  3. Utilisateur anonyme
     
    Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    --> Fais clic droit sur le raccourci FindyKill sur ton bureau

    --> Choisi executer en tant qu administrateur

    --> Au menu principal,choisi l option 2 (Suppression)

    /!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"

    /!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

    -------> ensuite post le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

    /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\

    0
  4. Ravens Messages postés 111 Statut Membre 12
     
    Je vous dit quoi dès que c'est fait...
    Mais il ne risque pas de me supprimer des fichiers que j'aimerais garder?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Non aucun risque juste les fichiers de ton infection
    0
  7. Ravens Messages postés 111 Statut Membre 12
     
    Et Voilà :

    ----------------- FindyKill V3.O85 -----------------

    * User : Rave Platform : Windows Vista
    * Suppression effectuée à 21:26:56 le ven. 19/09/2008
    * Emplacement : C:\Program Files\FindyKill\FindyKill.exe
    * Outils Mis a jours le 18/09/08 par Chiquitine29

    »»»» Suppression des fichiers dans C:

    »»»» Suppression des fichiers dans C:\Windows

    »»»» Suppression des fichiers dans C:\Windows\Prefetch

    »»»» Suppression des fichiers dans C:\Windows\system32

    »»»» Suppression des fichiers dans C:\Windows\system32\drivers

    Supprimé ! - C:\Windows\system32\drivers\srosa.sys
    Supprimé ! - C:\Windows\system32\drivers\hldrrr.exe
    Supprimé ! - "C:\Windows\system32\drivers\downld"

    »»»» Suppression des fichiers dans C:\Users\Rave\AppData\Roaming

    -----------------*** Verification ***----------------

    »»»» Suppression des fichiers dans C:

    »»»» Presence des fichiers dans C:

    »»»» Presence des fichiers dans C:\Windows

    »»»» Presence des fichiers dans C:\Windows\Prefetch

    »»»» Presence des fichiers dans C:\Windows\system32

    »»»» Presence des fichiers dans C:\Windows\system32\drivers

    »»»» Presence des fichiers dans C:\Users\Rave\AppData\Roaming

    »»»» Suppression des clefs du registre..

    "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA " - Supprimé !
    "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA " - Supprimé !
    "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA " - Supprimé !
    "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_srosa " - Supprimé !
    "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_srosa " - Supprimé !
    "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_srosa " - Supprimé !
    "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA " - Supprimé !
    "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA " - Supprimé !

    »»»» Suppression des clefs du registre effectuée !

    »»»» Affichage des fichiers cachés réparé !

    »»»» Services de securité Windows redemarré !

    »»»» Suppression des fichiers temporaires :

    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\+~JF17842.tmp"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\27852496.od"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\alm.log"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\amt.log"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\amtconfig.log"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\BatteryBarSetupBeta.exe"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\CFG8B5E.tmp"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\CFGDA39.tmp"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\Crimes___Oxford_Fr_DVDRip_Up_By_Movies690.rar"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\CVRFED0.tmp.cvr"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\c__s74hm.0.cs"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\c__s74hm.cmdline"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\c__s74hm.dll"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\c__s74hm.err"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\c__s74hm.out"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\c__s74hm.tmp"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\dd_vcredistMSI7AA4.txt"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\dd_vcredistUI7AA4.txt"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\ehmsas.txt"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\fla8FD1.tmp"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\is2CF2.tmp"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\is5967.tmp"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\isA26.tmp"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\isB74.tmp"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\java_install_reg.log"
    Supprimé ! - "C:\Users\Rave\AppData\Local\Temp\JET27F9.tmp"

    »»»» Suppression des fichiers dans Support amovible :

    Supprimé ! - H:\autorun.inf
    Supprimé ! - H:\nideiect.com

    ----------- ! Nettoyage realisé avec succès ! -----------

    ------------------ ! Fin du rapport ! --------------------
    0
  8. Utilisateur anonyme
     
    * Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    * Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.
    * Fais un clic droit dessus puis executer en tant qu administrateur
    * Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
    * Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
    * Cliquez sur le bouton Explorar pour lancer l'analyse

    --->post le rapport InfoSat qui est a la racine de ton disque C
    0
  9. Ravens Messages postés 111 Statut Membre 12
     
    Fri Sep 19 22:03:18 2008
    EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
    Reinicie para Completar la Limpieza.

    Fri Sep 19 22:03:24 2008
    EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    C:\LiberKey\Apps\Emule\App\Emule\Incoming\Liquid Story Binder XE 2.41\LIQUID STORY BINDER XE 2.41.EXE --> Eliminado Bagle.dldr
    C:\Program Files\xNeat Clipboard Manager\XNEATCLIPMNGR.EXE --> Eliminado Bagle.dldr

    Est-ce normale que mes clefs USB s'infectent encore lors des mise en connections??
    0
  10. Utilisateur anonyme
     
    branche toutes tes clés usb et refais un scan findykill option 1 recherche stp
    0
  11. Ravens Messages postés 111 Statut Membre 12
     
    JE crois qu'au fait il a infecté a travers mon usb le pc sur lequel je vous réponds et du coups à réinfecté l'ancien :s
    0
  12. Utilisateur anonyme
     
    sur le pc infecté branche toutes tes clé et fais l option 1 de findykill et post le rapport
    0
  13. Ravens Messages postés 111 Statut Membre 12
     
    ----------------- FindyKill V3.085 ------------------

    * User : Propri‚taire Platform : Windows XP
    * Emplacement : C:\Program Files\FindyKill\FindyKill.exe
    * Outils Mis a jours le 18/09/08 par Chiquitine29
    * Recherche effectuée à 22:32:07 le ven. 19/09/2008

    ----------------- *** Recherche *** ------------------

    »»»» Presence des fichiers dans C:

    »»»» Presence des fichiers dans C:\WINDOWS

    »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

    »»»» Presence des fichiers dans C:\WINDOWS\system32

    »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

    »»»» Presence des fichiers dans C:\Documents and Settings\Propri‚taire\Application Data

    »»»» Registre :

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    RaidTool REG_SZ C:\Program Files\VIA\RAID\raid_tool.exe
    Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    BitDefender Antiphishing Helper REG_SZ "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
    BDAgent REG_SZ "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
    SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
    SoundMan REG_SZ SOUNDMAN.EXE
    beidsystemtray REG_SZ C:\Program Files\Belgium Identity Card\beidsystemtray.exe
    <SANS NOM> REG_SZ

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
    Qnext REG_SZ "C:\Program Files\Qnext\qnext.exe"
    »»»» Presence d infections dans Support amovible :

    Présent ! - D:\autorun.inf
    Présent ! - K:\nideiect.com
    Présent ! - L:\nideiect.com

    ----------- ! Recherche realisée avec success ! -----------

    Je fais rien sur le pc ou j'ai retiré toutes les clefs (cad le premier infecté qui est peut-être réinfecté)?
    0
  14. Utilisateur anonyme
     
    Télécharge RavAntivirus d'Evosla sur ton bureau : http://ww25.evosla.com/compteur.php?soft=rav_antivirus
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir avant de lancer ce FIX
    - Clique droit sur le fichier .ZIP, puis "Extraire vers" Bureau.
    - Doucle-clique sur "RAV.exe" pour lancer le fix.
    - Laisse le programme agir (10 min) : il scanne automatiquement tout les lecteurs (disques fixes et amovibles)

    - Ensuite : retire tes disques amovibles et redémarre le PC.
    0
  15. Ravens Messages postés 111 Statut Membre 12
     
    C'est en cours mais une des usb contient 16Go (et est loin d'être optimisé :p) donc ça tourne toujours...
    Sinon pour l'autre PC sur lequel j'ai retiré toutes les USB je fais la même chose?
    0
  16. Utilisateur anonyme
     
    ouu par sureté passe rav sur l autre pc

    ensuite passe elibagla sur le pc infecté et post son rapport stp
    0
  17. Ravens Messages postés 111 Statut Membre 12
     
    Sur celle ou il y a toutes les clefs c'est normal que RAV continue tj à tourner en me disant votre ordinateur est sain?
    la barre de progression est pour le décor ou elle indique bien le faite qu'il continue a chercher?
    0
  18. Utilisateur anonyme
     
    Tu peux l arreter passe elibagla sur le pc infecté et post le rapport stp
    0
  19. Ravens Messages postés 111 Statut Membre 12
     
    Elibagla tourne toujours mais entre temps si je peux me permettre de te poser la question suivante:

    J'ai été infecté par le virus suivant "Bagle" sur mon pc 1, et il a foutu sa merde et a infecté toutes les clefs USB connecté sur mon pc 1 avec le trojan "nideiect.com" et c'est ce trojan qui se tranfère de clefs en clefs sans le virus "Bagle", c'est bien ça? Ou Bagle se recrée à l'aide du trojan?
    0
  20. Utilisateur anonyme
     
    le plus prudent est de passer findykill sur l autre pc option 1 recherche et post le rapport stp
    0
  21. Ravens Messages postés 111 Statut Membre 12
     
    On parle du pc 2? :P
    Voilà son rapport :

    ----------------- FindyKill V3.085 ------------------

    * User : Propri‚taire Platform : Windows XP
    * Emplacement : C:\Program Files\FindyKill\FindyKill.exe
    * Outils Mis a jours le 18/09/08 par Chiquitine29
    * Recherche effectuée à 23:21:16 le ven. 19/09/2008

    ----------------- *** Recherche *** ------------------

    »»»» Presence des fichiers dans C:

    Présent ! - C:\InfoSat.txt

    »»»» Presence des fichiers dans C:\WINDOWS

    »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

    »»»» Presence des fichiers dans C:\WINDOWS\system32

    »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

    »»»» Presence des fichiers dans C:\Documents and Settings\Propri‚taire\Application Data

    »»»» Registre :

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    RaidTool REG_SZ C:\Program Files\VIA\RAID\raid_tool.exe
    Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    BitDefender Antiphishing Helper REG_SZ "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
    BDAgent REG_SZ "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
    SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
    SoundMan REG_SZ SOUNDMAN.EXE
    beidsystemtray REG_SZ C:\Program Files\Belgium Identity Card\beidsystemtray.exe
    <SANS NOM> REG_SZ

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
    Qnext REG_SZ "C:\Program Files\Qnext\qnext.exe"
    »»»» Presence d infections dans Support amovible :

    Présent ! - D:\autorun.inf

    ----------- ! Recherche realisée avec success ! -----------

    Le second est réinfecté!! (fin si j'ai bien pigé le rapport) :(
    0
  • 1
  • 2