Infecté par worm bagle....

Résolu

chillinchill -
anthony5151 Messages postés 10927 Statut Contributeur sécurité - 2 déc. 2008 à 20:08

Bonjour,
c est la panique...en voulant installer la version familiale d avast je pense avoir été infecté....apres un ecran bleu au redémarrage win defender me dit echec d initialisation de l application 0x800106ba.....le vrai problème outre le fait que mon pc soit tres lent du coup est que je n ai plus aucun accès wifi et suis obligé de passer via lan.impossible d installer hijack this application win32 non valide j ai cru comprendre que c est le worm qui fait ca......comment nettoyer pouvoez vous m aider?par pitié!!!
merci d avance

Afficher la suite

A voir également:

Infecté par worm bagle....
Alerte windows ordinateur infecté - Accueil - Arnaque
L'ordinateur de simon a été infecté par un virus répertorié récemment ✓ - Forum Virus
Infection par : ONLYPC Flow.co.in ✓ - Forum Virus
L'ordinateur de mustapha a été infecté par un virus répertorié récemment - Forum Virus
Mustapha - Forum Windows

4 réponses

Réponse 1 / 4

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Bonsoir,

Cette infection s'attrape par le téléchargement de cracks, qui sont un important vecteur d'infection : https://forum.malekal.com/viewtopic.php?f=33&t=893
Supprime tous tes cracks et keygens pourris, sinon inutile de désinfecter, les cracks et keygens réinfecteront ton ordinateur sans arrêt !

Bagle se propage ensuite par disques amovibles (clés USB, disques durs externes, lecteurs mp3) ==> isole ton PC

Confirme moi que tu as supprimé tous tes cracks (sinon je refuse de t'aider) Ensuite, fais ce qui suit :

# Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection) :
- Va dans démarrer puis panneau de configuration
- Double clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur activer ou désactiver le controle des comptes utilisateur
- Décoche la case "utiliser le contrôle....." puis valide
- Redémarre l'ordinateur

# Télécharge FindyKill (de Chiquitine29)

Fais un clic droit sur le lien --> enregistrer sous --> bureau
---> FindyKill

--> Lance l'installation avec les paramètres par défaut

--> Double clique sur le raccourci FindyKill sur ton bureau

--> Au menu principal, choisis l'option 1 (Recherche)

--> Poste le rapport C:/FindyKill.txt (il est sauvegardé à la racine du disque dur)

chillinchill

merci pour ces precisions ..malheureusement lorsque je lance findykill en appuyant sur 1 celui ci me marque accès refusé..
ayant utilisé elibagla et malwarebytes je vous nposte les rapports de ces deux actions:
elibagla

Mon Dec 01 01:33:37 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\CHILL\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\USERS\CHILL\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle

Mon Dec 01 01:38:55 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\CHILL\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.

Mon Dec 01 02:10:38 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\CHILL\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.

Mon Dec 01 02:44:00 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\CHILL\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\USERS\CHILL\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
Reinicie para Completar la Limpieza.

Mon Dec 01 02:44:57 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\CHILL\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Dec 01 02:45:36 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Acer\ALaunch\ALAUNCHCLIENT.EXE --> Eliminado Bagle.dldr

Mon Dec 01 02:48:10 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\CHILL\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Dec 01 02:48:16 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Mon Dec 01 02:55:35 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\CHILL\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Dec 01 02:56:03 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Users\Chill\Downloads\eMule\Incoming\avast!.Professional.Edition.4.7.827\AVAST!.PROFESSIONAL.EDITION.4.7.827.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 22504
Nº Total de Ficheros: 182353
Nº de Ficheros Analizados: 18265
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Mon Dec 01 03:23:20 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\CHILL\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Dec 01 03:24:54 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\CHILL\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Dec 01 03:31:37 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\USERS\CHILL\APPDATA\ROAMING\M\FLEC006.EXE --> Eliminado Bagle
Eliminada Carpeta "%AppData%\M"

Mon Dec 01 03:32:23 2008
EliBagle v12.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 8548
Nº Total de Ficheros: 94757
Nº de Ficheros Analizados: 5282
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

malwarebytes:
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1439
Windows 6.0.6001 Service Pack 1

2008-12-01 10:04:29
mbam-log-2008-12-01 (10-04-20).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 218768
Temps écoulé: 1 hour(s), 18 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 76

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Windows\System32\drivers\downld (Trojan.Agent) -> No action taken.

Fichier(s) infecté(s):
C:\Windows\System32\drivers\downld\100636.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\101322.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\116454.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\118669.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\127047.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\142319.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\148778.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\149807.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\155236.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\158606.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\162802.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\167482.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\183129.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\183940.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\188308.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\188948.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\191756.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\193800.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\195328.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\205999.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\207481.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\210117.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\221552.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\223689.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\227574.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\234110.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\235577.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\237963.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\242987.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\253704.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\257386.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\267900.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\269866.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\276605.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\285232.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\285778.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\287712.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\288492.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\290598.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\293703.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\294389.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\307587.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\31718248.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\31719854.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\31721056.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\31732802.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\31733551.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\31738153.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\31746063.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\31773503.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\31801771.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\318928.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\325355.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\338756.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\346571.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\347492.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\362639.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\365494.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\367616.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\371063.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\376461.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\377569.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\379909.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\398925.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\402186.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\411577.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\423761.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\440624.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\442060.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\444602.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\477877.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\488751.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\73476.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\87048.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\88015.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\mdelk.exe (Trojan.Spammer) -> No action taken.

voila je sjuis assez bloqué la a vrai dire..de plus je me demande si une fois le probleme resolu ma connexion wifi reviendra d elle meme ce dont je doute..j attends votre aide avec impatience merci par avance

chillinchill > chillinchill

voici le rapport de findykill

C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\system32\igfxsrvc.exe
C:\Users\Chill\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Program Files\Syncrosoft\POS\H2O\cledx.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Lexmark 1200 Series\LXCZbmgr.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\cmd.exe
C:\Users\Chill\Desktop\Tools\Proc.exe

Réponse 2 / 4

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Avant de lancer FindyKill, plusieurs précautions à prendre :

# Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection) :
- Va dans démarrer puis panneau de configuration
- Double clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur activer ou désactiver le controle des comptes utilisateur
- Décoche la case "utiliser le contrôle....." puis valide
- Redémarre l'ordinateur

# Désinstaller Elibagla

# Ouvrir FindyKill en faisant un clic-droit sur le raccourci et en choisissant "Exécuter en temps qu'administrateur"

chillinchill

merci une fois de plus..
rapport:

----------------- FindyKill V4.706 ------------------

* User : Chill - PC-DE-CHILL
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 27/11/08 par Chiquitine29
* Recherche effectuée à 20:02:57 le 2008-12-01
* Windows Vista - Internet Explorer 7.0.6001.18000

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\services.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Acer\ALaunch\ALaunchSvc.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\lxczcoms.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Program Files\Syncrosoft\POS\H2O\cledx.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
C:\Windows\system32\igfxext.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Lexmark 1200 Series\LXCZbmgr.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Users\Chill\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\conime.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\taskeng.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

Found ! [2008-12-01 03:39] - C:\InfoSat.txt

»»»» Presence des fichiers dans C:\Windows

»»»» Presence des fichiers dans C:\Windows\Prefetch

Found ! - C:\Windows\prefetch\MDELK.EXE.EXE-CC7F7A04.pf

»»»» Presence des fichiers dans C:\Windows\system32

»»»» Presence des fichiers dans C:\Windows\system32\drivers

»»»» Presence des fichiers dans C:\Users\Chill\AppData\Roaming

»»»» Presence des fichiers dans C:\Users\Chill\AppData\Local\Temp

»»»» Presence des fichiers dans C:\Users\Chill\Local Settings\Temporary Internet Files\Content.IE5

--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

Sidebar=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=
<NO NAME>=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

Windows Defender=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
ALaunch=C:\Acer\ALaunch\AlaunchClient.exe
RtHDVCpl=RtHDVCpl.exe
eDataSecurity Loader=C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
PLFSetL=C:\Windows\PLFSetL.exe
IgfxTray=C:\Windows\system32\igfxtray.exe
HotKeysCmds=C:\Windows\system32\hkcmd.exe
Persistence=C:\Windows\system32\igfxpers.exe
IAAnotif="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
LManager=C:\PROGRA~1\LAUNCH~1\LManager.exe
PlayMovie="C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe"
Apoint=C:\Program Files\Apoint2K\Apoint.exe
eRecoveryService=
WarReg_PopUp=C:\Acer\WR_PopUp\WarReg_PopUp.exe
Acer Tour Reminder=C:\Acer\AcerTour\Reminder.exe
eAudio="C:\Acer\Empowering Technology\eAudio\eAudio.exe"
H2O=C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
Acrobat Assistant 8.0="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
<NO NAME>=
QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
Sony Ericsson PC Suite="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
Lexmark 1200 Series="C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"
lxczbmgr.exe="C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"
TkBellExe="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

[HKEY_CURRENT_USER\software\local appwizard-generated applications\AlaunchClient]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\avast!.Professional.Edition.4.7.827]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\ESApp]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\hldrrr]

--------------- [ Registre / Clés infectieuses ] ----------------

Found ! - HKEY_USERS\S-1-5-21-2921069811-331390181-1503048925-1000\Software\Local AppWizard-Generated Applications\hldrrr
Found ! - HKEY_USERS\S-1-5-21-2921069811-331390181-1503048925-1000\Software\FFC
Found ! - HKEY_USERS\S-1-5-21-2921069811-331390181-1503048925-1000\Software\FirtR
Found ! - HKEY_USERS\S-1-5-21-2921069811-331390181-1503048925-1000\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Found ! - HKEY_CURRENT_USER\Software\FirtR
Found ! - HKEY_CURRENT_USER\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\FFC

--------------- [ Etat / Services ] ----------------

+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 3

Wlansvc - Type de démarrage = 2

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

/!\ wscsvc - Type de démarrage = 4

/!\ WinDefend - Type de démarrage = 4

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Lecteur fixe
D: - Lecteur fixe

+- presence des fichiers :

--------------- [ Registre / Mountpoint2 ] ----------------

Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{aa86439b-7f11-11dd-9268-d54fabe968de}\Shell\AutoRun\command

------------------- ! Fin du rapport ! --------------------

chillinchill > chillinchill

remarque pour findykill:si je l installe sur le bureau il est impossible de le faire fonctionner il me dit que des fichiers sont manquants qu il est mal installé..
il faut que je l enreg sous prog files pour qu il marche ca a peu etre une incidence sur le resultat je sais pas mais ca me semblait important

Réponse 3 / 4

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

J'ai précisé de télécharger le fichier d'installation sur le Bureau, mais d'installer le programme dans son emplacement par défaut (c'est a dire dans program files)
Donc c'est bon maintenant.

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir

--> Relance FindyKill en faisant un clic-droit sur le raccourci et en choisissant "Exécuter en temps qu'administrateur"

--> Cette fois, choisis l'option 2 (Suppression) au menu principal

Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" !

--> Ensuite poste le rapport C:/FindyKill.txt (il est sauvegardé à la racine du disque dur)

chillinchill

voici le rapport:

----------------- FindyKill V4.706 ------------------

* User : Chill - PC-DE-CHILL
* executed from : C:\Program Files\FindyKill
* Update on 27/11/08 par Chiquitine29
* Start at 2:45:51 the 2008-12-02
* Windows Vista - Internet Explorer 7.0.6001.18000

((((((((((((((( *** deleting *** ))))))))))))))))))

--------------- [ Active Processes ] ----------------

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\WerCon.exe
C:\Acer\ALaunch\ALaunchSvc.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\lxczcoms.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe

--------------- [ Infected files / folders ] ----------------

»»»» Supression files in C:

Deleted ! - C:\InfoSat.txt

»»»» Supression files in C:\Windows

»»»» Supression files in C:\Windows\Prefetch

Deleted ! - C:\Windows\prefetch\MDELK.EXE.EXE-CC7F7A04.pf

»»»» Supression files in C:\Windows\system32

»»»» Supression files in C:\Windows\system32\drivers

»»»» Supression files in C:\Users\Chill\AppData\Roaming

»»»» Supression files in C:\Users\Chill\AppData\Local\Temp

»»»» Supression files in C:\Users\Chill\Local Settings\Temporary Internet Files\Content.IE5

--------------- [ Registry / Infected keys ] ----------------

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_USERS\S-1-5-21-2921069811-331390181-1503048925-1000\Software\Local AppWizard-Generated Applications\hldrrr
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr

--------------- [ States / Restarting of services ] ----------------

+- Showing of hidden files has been repaired !

+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Wlansvc - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2

WinDefend - Type of startup = 2

--------------- [ Cleaning removable drives ] ----------------

+- Informations :

C: - Lecteur fixe
D: - Lecteur fixe

+- deleting files :

--------------- [ Registry / Mountpoint2 ] ----------------

Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{aa86439b-7f11-11dd-9268-d54fabe968de}\Shell\AutoRun\command

--------------- [ Searching Cracks / Keygen ] ----------------

C:\Users\Chill\Documents\Mes fichiers reçus\Crack FR {Photoshop CS3 Extended}.rar
C:\Users\Chill\Documents\Mes fichiers reçus\photoshop cs3 crack no cd.zip
C:\Users\Chill\Downloads\christmas_on_crack.zip

---------------- ! End of report ! ------------------

je crois que cette fois ci on en est venu a bout!!j attends vote confirmation....en tous les cas je voulais vous remercier pour dedier autant d energie et de temps a aider les gens comme moi...un bel élan d'humanité......bonne continuation et encore merci...

Réponse 4 / 4

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

La source de l'infection est ici :

C:\Users\Chill\Documents\Mes fichiers reçus\Crack FR {Photoshop CS3 Extended}.rar
C:\Users\Chill\Documents\Mes fichiers reçus\photoshop cs3 crack no cd.zip
C:\Users\Chill\Downloads\christmas_on_crack.zip

Si tu réutilises tes cracks, tu vas réinstaller l'infection... Je te conseille vivement de les supprimer tous, ainsi que les programmes qui vont avec.

Pour PhotoShop, il existe des équivalents gratuits comme Gimp (libre) ou PhotoFiltre : http://www.commentcamarche.net/faq/sujet 6075 equivalent de photoshop gratuit

Une fois que tu auras supprimé les cracks, fais ce qui suit pour finir la désinfection.

/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur du forum vous l'a recommandé.

On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

Dans ton cas, il s'agit d'Avast (mais je suppose qu'il ne fonctionne plus avec l'infection ?)

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :

Fais un clic droit sur C-Fix.exe (= combofix.exe ) --> exécuter en tant qu’administrateur

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

Discussions similaires

infecté par des virus

Virus Worm.Win32.Autorun.mjd

Virus non détecté par mon anti-virus ?

simon

Powershell infecté

Infecté par worm bagle....

4 réponses

Votre réponse

Discussions similaires

Newsletters