Virus!! comment l'enlever?

Résolu
zoe89 Messages postés 87 Statut Membre -  
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,
Après m'être renseigné sur le net, je pense avoir un virus!!! voilà en gros : je n'ai plus de son sur mes enceintes, j'ai bien ma carte son nvidia geforce 6600 gt mais le pc ne la reconnait pas le message est le suivant : ce périphérique ne peut pas démarrer (code 10)...
de plus, j'ai un message qui arrive lorsque je démarre mon pc : c: windows \ system32 \ msupdate.exe!
Donc, j'essaie de lancer l'application Hijack mais j'ai encore un message d'erreur ...
Donc je ne sais plus quoi faire?!!
merci pour votre aide
Configuration: Windows XP
Firefox 3.0.1

116 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
Résumé de la discussion

Une problématique centrale est une machine Windows XP présentant des symptômes d’infection: perte de son, non-reconnaissance d’une carte son NVIDIA GeForce 6600 GT et un message Code 10 au démarrage. Plusieurs réponses préconisent des outils de détection et de désinfection comme FindyKill, ComboFix et HijackThis, avec des instructions précises et des rapports à poster pour évaluer l’infection. En cas d’infection avérée, les guides recommandent de déconnecter le réseau et de fermer les applications avant le scan, d’exécuter les outils en langue française et de consulter les rapports générés. Des éléments de log et de configuration évoquent des services antivirus, des composants graphiques et des modules tiers, soulignant la nécessité d’une analyse globale et prudente sans conclusion hâtive.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Télécharge FindyKill (par Chiquitine29) sur ton bureau :
    http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

    --> Lance l'installation avec les paramètres par defaut

    --> Double-clique sur le raccourci FindyKill sur ton bureau

    --> Au menu principal, choisis l'option 1 (Recherche)

    --> Poste le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
    2
  2. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    ---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

    ---> Double-clique sur Combofix.exe
    Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
    Accepte en cliquant sur "Oui"

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt
    1
  3. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Ah bah voilà lol.

    ---> Télécharge EliBaglA.exe :
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp

    ---> Clique en bas de la page sur le bouton Descargar Elibagla.
    Enregistre ce fichier sur le bureau.

    ---> Double-clique sur EliBaglA.exe pour l'ouvrir.

    ---> Assure-toi que dans le menu déroulant Unidad qu'il y ait bien C:\
    Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée.

    ---> Clique sur le bouton Explorar pour lancer l'analyse.

    ---> L'analyse finie, redémarre, poste le rapport d'EliBaglA qui se trouve ici C:\InfoSat.txt
    1
  4. zoe89 Messages postés 87 Statut Membre 2
     
    sur ta boite free...
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Ça ne montre pas les 18 infections.
    1
  7. zoe89 Messages postés 87 Statut Membre 2
     
    salt, voici le rapport hijackthis :
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 05:24, on 30/09/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS2\System32\smss.exe
    C:\WINDOWS2\system32\winlogon.exe
    C:\WINDOWS2\system32\services.exe
    C:\WINDOWS2\system32\lsass.exe
    C:\WINDOWS2\system32\svchost.exe
    C:\WINDOWS2\System32\svchost.exe
    C:\WINDOWS2\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS2\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS2\system32\RUNDLL32.EXE
    C:\WINDOWS2\RTHDCPL.EXE
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    C:\WINDOWS2\system32\ctfmon.exe
    C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
    C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS2\system32\nvsvc32.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS2\system32\wuauclt.exe
    C:\Documents and Settings\Administrateur\Bureau\HiJackThis(2).exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS2\system32\msdxm.ocx
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS2\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS2\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS2\system32\NeroCheck.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS2\system32\ctfmon.exe
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
    O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS2\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS2\Network Diagnostic\xpnetdiag.exe
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.ca/?hl=fr&gws_rd=ssl
    O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS2\system32\nvsvc32.exe
    1
  8. zoe89 Messages postés 87 Statut Membre 2
     
    En tout cas, je te remercie fortement pour ce long désamorçage!!
    et je te souhaite une bonne continuation
    tchao
    1
  9. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Salut,

    "j'ai bien ma carte son nvidia geforce 6600 gt"
    ---> C'est la carte graphique ça.

    "c: windows \ system32 \ msupdate.exe!"
    ---> C'est une cochonnerie.

    "Donc, j'essaie de lancer l'application Hijack mais j'ai encore un message d'erreur ... "
    ---> Quelle erreur ?
    0
  10. InfernO.vir
     
    Bonjour,

    Ca ressemble a du bagle ca non qu'en pense tu destrio5 ?
    0
  11. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Oui car Bagle a tendance à retirer le son.
    0
  12. zoe89 Messages postés 87 Statut Membre 2
     
    hé bien merci pour l'interet que vous portez a mon message, toutefois pourriez vous m'expliquer le désamorssage de ce virus bagle svp?
    0
  13. zoe89 Messages postés 87 Statut Membre 2
     
    eh bien, j'ai bien télécgarger Findykill mais il veut pas etre éxécuter ???
    il veut etre juste télécharger
    0
  14. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Comment ça, il veut pas ?
    0
  15. Utilisateur anonyme
     
    utilise avg
    l'instalation est facil
    et il va te faire du ménage
    il est tres facil
    0
  16. zoe89 Messages postés 87 Statut Membre 2
     
    ok, j'ai bien mon rapport :
    ----------------- FindyKill V3.095 ------------------

    * User : Administrateur - QCM
    * Emplacement : C:\Program Files\FindyKill\FindyKill.exe
    * Outils Mis a jours le 22/09/08 par Chiquitine29
    * Recherche effectuée à 9:25:25 le 27/09/2008
    * Windows XP - Internet Explorer 6.0.2900.2180

    ----------------- *** Recherche *** ------------------

    »»»» Presence des fichiers dans C:

    »»»» Presence des fichiers dans C:\WINDOWS2

    »»»» Presence des fichiers dans C:\WINDOWS2\Prefetch

    Present ! - C:\WINDOWS2\Prefetch\WINTEMS.EXE-0F2528DD.pf
    Present ! - C:\WINDOWS2\Prefetch\MDELK.EXE-0FB19CF3.pf
    Present ! - C:\WINDOWS2\Prefetch\HLDRRR.EXE-1901B829.pf

    »»»» Presence des fichiers dans C:\WINDOWS2\system32

    Présent ! - C:\WINDOWS2\system32\mdelk.exe
    Présent ! - C:\WINDOWS2\system32\wintems.exe
    Présent ! - C:\WINDOWS2\system32\ban_list.txt

    »»»» Presence des fichiers dans C:\WINDOWS2\system32\drivers

    Présent ! - C:\WINDOWS2\system32\drivers\srosa.sys
    Présent ! - C:\WINDOWS2\system32\drivers\hldrrr.exe
    Présent ! - "C:\WINDOWS2\system32\drivers\downld"

    »»»» Presence des fichiers dans C:\Documents and Settings\Administrateur\Application Data

    Présent ! - "C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe"
    Présent ! - "C:\Documents and Settings\Administrateur\Application Data\m\list.oct"
    Présent ! - "C:\Documents and Settings\Administrateur\Application Data\m\data.oct"
    Présent ! - "C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct"
    Présent ! - "C:\Documents and Settings\Administrateur\Application Data\m\shared"
    Présent ! - "C:\Documents and Settings\Administrateur\Application Data\m"

    »»»» Presence des fichiers dans C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

    Present ! - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.078
    Present ! - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.188
    Present ! - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.547
    Present ! - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.312

    »»»» Registre :

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    SunJavaUpdateSched REG_SZ C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS2\system32\NvCpl.dll,NvStartup
    nwiz REG_SZ nwiz.exe /install
    NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS2\system32\NvMcTray.dll,NvTaskbarInit
    RTHDCPL REG_SZ RTHDCPL.EXE
    Alcmtr REG_SZ ALCMTR.EXE
    NeroFilterCheck REG_SZ C:\WINDOWS2\system32\NeroCheck.exe
    Nouvelle valeur #1 REG_SZ
    Microsoft WinUpdate REG_SZ C:\WINDOWS2\system32\msupdte.exe
    <SANS NOM> REG_SZ

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    MsnMsgr REG_SZ "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    DriverUpdaterPro REG_SZ C:\Program Files\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe -t
    Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
    Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
    Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
    Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
    Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
    Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
    Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
    Présent ! - HKEY_CURRENT_USER\Software\bisoft
    Présent ! - HKEY_CURRENT_USER\Software\DateTime4
    Présent ! - HKEY_CURRENT_USER\Software\EFC
    Présent ! - HKEY_CURRENT_USER\Software\XYZ
    Présent ! - HKEY_CURRENT_USER\Software\XEW
    Présent ! - HKEY_CURRENT_USER\Software\FirtR
    Présent ! - HKEY_CURRENT_USER\Software\MuleAppData

    »»»» Presence d infections dans Support amovible :

    voilà, voilà, maintenant je fais quoi?

    ----------- ! Recherche realisée avec success ! -----------
    0
  17. zoe89 Messages postés 87 Statut Membre 2
     
    de plus, j'ai déjà l'antivirus avira mais il ne veut pas s'allumer...
    0
  18. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Une très belle infection Bagle.

    Bagle se trouve dans les cracks alors ARRETE DE TELECHARGER N'IMPORTE QUOI.

    --> Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir

    --> Double-clique sur le raccourci FindyKill sur ton bureau

    --> Au menu principal, choisis l'option 2 (Suppression)

    /!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

    --> Ensuite, poste le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
    0
  19. zoe89 Messages postés 87 Statut Membre 2
     
    heu, j'ai juste une clef usb, un scanner et une imprimante...
    il faut que je branche tout ca?
    0
  20. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Branche juste ta clé USB.
    0
    1. zoe89 Messages postés 87 Statut Membre 2
       
      destrio, à l'aide, j'ai eu juste un démarrage et ensuite ca a bloqué le message suivant est apparu : "windows ne trouve pas c:\program" et ca s'est bloqué là!!
      0
  21. InfernO.vir
     
    Tres bon fix de Chiquitine29 (Merci a Toi !)

    Combofix deja fera du menage retira les 2/3 de bagle mais si sa cle usb est infecté tu lui fera utiliser flashdisinfector ? ou autre simple question.
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6