Virus flec003.exe rapport findykill [Résolu]

Bonsoir,


Belle infection "Bagle"


! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* clic sur le raccourci FindyKill présent sur ton bureau .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

* Le pc va redémarrer automatiquement ...

? le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

--> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

ok
c'est un peu galère car le virus m'empêche de faire des recherche sur tout les programmes comme findykill etc
je suis obliger de le faire sur un autre ordi !

Ok,

J'attend le rapport...Il y aura certainement encore du boulot après .
Certaines variantes de Bagle font pas mal de dégats...!!!!

############################## | FindyKill V5.044 |

# User : Proprietaire (Administrateurs) # ST-00C08FF3B5F5
# Update on 10/06/2010 by El Desaparecido
# Start at: 20:21:40 | 16/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 Processor 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : Norton Internet Security 16.0.0.125 [ Enabled | Updated ]
# FW : Norton Internet Security[ Enabled ]16.0.0.125

# C:\ # Disque fixe local # 149,04 Go (59,24 Go free) # NTFS
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque CD-ROM
# I:\ # Disque CD-ROM
# J:\ # Disque amovible

################## | Eléments infectieux |

Supprimé ! C:\WINDOWS\ban_list.txt
Supprimé ! C:\WINDOWS\mdelk.exe
Supprimé ! C:\WINDOWS\wintems.exe
Supprimé ! C:\WINDOWS\system32\srosa2.sys
Supprimé ! C:\WINDOWS\system32\wfsintwq.sys
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\drivers\downld
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\drivers\winupgro.exe
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\drivers
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\downloads.bak
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\downloads.txt
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\AC_BootstrapIPs.dat
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\AC_SearchStrings.dat
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\AC_ServerMetURLs.dat
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\cancelled.met
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\clients.met
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\clients.met.bak
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\cryptkey.dat
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\emfriends.met
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\key_index.dat
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\known.met
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\known2_64.met
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\load_index.dat
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\nodes.dat
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\preferences.dat
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\preferences.ini
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\preferencesKad.dat
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\server.met
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\server_met.old
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\shareddir.dat
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\src_index.dat
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\statistics.ini
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config\StoredSearches.met
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\config
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\file.exe
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\flec003.exe
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\flec005.exe
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\Incoming
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\lang
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\names.txt
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\server.txt
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\skins
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\Temp
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\WDIR
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires\webserver
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\hidires
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\m\data.oct
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\m\flec006.exe
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\m\list.oct
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\m\shared
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\m\srvlist.oct
Supprimé ! C:\Documents and Settings\Proprietaire\Application Data\m
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\124AM22G\mxd[1].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\124AM22G\mxd[2].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\124AM22G\mxd[3].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\124AM22G\servernames[1].htm
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\I3TTMURY\mxd[10].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\I3TTMURY\mxd[1].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\I3TTMURY\mxd[2].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\I3TTMURY\mxd[3].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\I3TTMURY\mxd[4].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\I3TTMURY\mxd[5].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\I3TTMURY\mxd[6].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\I3TTMURY\mxd[7].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\I3TTMURY\mxd[8].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\I3TTMURY\mxd[9].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\I3TTMURY\servernames[1].htm
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\I3TTMURY\servernames[2].htm
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\J1A97NMD\mxd[1].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\J1A97NMD\mxd[2].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\J1A97NMD\mxd[3].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\J1A97NMD\mxd[4].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\J1A97NMD\mxd[5].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\J1A97NMD\mxd[6].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\J1A97NMD\mxd[7].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\VQO69CML\mxd[1].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\VQO69CML\mxd[2].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\VQO69CML\mxd[3].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\VQO69CML\mxd[4].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\VQO69CML\mxd[5].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\VQO69CML\mxd[6].jpg
Supprimé ! C:\Documents and Settings\Proprietaire\Local Settings\Temporary Internet Files\Content.IE5\VQO69CML\mxd[7].jpg

################## | Références de comparaison Bagle MD5 : |

File : C:\Documents and Settings\Proprietaire\Application Data\drivers\winupgro.exe
-> Crc32 : e3375958 | Md5 : 01c4a998fbfa2cae58fef040cafa55e7


################## | MD5 ... |

Supprimé ! "C:\System Volume Information\_restore{A0E6EEBC-25BF-46D1-B574-98BAC29238A0}\RP535\A0104436.exe"
-> Size : 1069568 | Crc32 : 5ece437a | Md5 : 37af6ea2f9298dc94582bb935f408b31

Supprimé ! "C:\System Volume Information\_restore{A0E6EEBC-25BF-46D1-B574-98BAC29238A0}\RP549\A0120111.exe"
-> Size : 1056256 | Crc32 : 5ad1b554 | Md5 : dc49be73fea91073dea1cec00d291840

Supprimé ! "C:\System Volume Information\_restore{A0E6EEBC-25BF-46D1-B574-98BAC29238A0}\RP551\A0126354.exe"
-> Size : 1086976 | Crc32 : 5d9455cc | Md5 : 859eb65efa5152f3124caf80798ce94f

Supprimé ! "C:\System Volume Information\_restore{A0E6EEBC-25BF-46D1-B574-98BAC29238A0}\RP552\A0127465.exe"
-> Size : 1094656 | Crc32 : e3375958 | Md5 : 01c4a998fbfa2cae58fef040cafa55e7

Supprimé ! "C:\System Volume Information\_restore{A0E6EEBC-25BF-46D1-B574-98BAC29238A0}\RP565\A0132002.exe"
-> Size : 1056256 | Crc32 : 5ad1b554 | Md5 : dc49be73fea91073dea1cec00d291840

Supprimé ! "C:\System Volume Information\_restore{A0E6EEBC-25BF-46D1-B574-98BAC29238A0}\RP567\A0136026.exe"
-> Size : 1094656 | Crc32 : e3375958 | Md5 : 01c4a998fbfa2cae58fef040cafa55e7


################## | CRC32 ... |


################## | Registre |

Supprimé ! [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
Supprimé ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Supprimé ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Supprimé ! [HKLM\software\microsoft\shared tools\msconfig\startupreg\flec003.exe]
Supprimé ! [HKCU\Software\bisoft]
Supprimé ! [HKCU\Software\DateTime4]
Supprimé ! [HKCU\Software\MuleAppData]
Supprimé ! [HKCU\Software\WS4001]
Supprimé ! [HKCR\ed2k]
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat |

# Mode sans echec restauré !

# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Fichiers corrompus |

Corrompu : C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\RECYCLER\S-1-5-21-1606980848-162531612-725345543-1004\Dc266\Software Update\AutoUpdate.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\RECYCLER\S-1-5-21-1606980848-162531612-725345543-1004\Dc270\Launch.exe
[Offset = 00000114 - Valeur = 0x0001]


################## | Upload |

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_ST-00C08FF3B5F5.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # FindyKill V5.044 ! |

Voila le rapport mais je n'arive pas a remettre explorer.exe ...

enfaite si c'est bon mais il ya l'utilitaire de configuration qui est en mode de demarage diagnostique ou selectif ??

Pour voir cela:
Utilise cet outil de diagnostic.

Télécharge RSIT (de random/random) sur le bureau :

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur "Continue" dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse .
- Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/
et colle le lien généré.
Les rapports sont dans le dossier ici C:\rsit
a+

http://www.cijoint.fr/cjlink.php?file=cj201006/cijMOw2Yyv.txt

voila pour le rapport

alors ??

personne??

Excuses pour le retard, je rentre du boulot...

Fais un scan avec cet antispyware :
Malwarebytes + tutoriel

Tu l'installes; mets le a jour...(onglet mise a jour)
Click maintenant sur l'onglet recherche et coche la case :
"Executer un examen rapide".
Puis click sur "rechercher".
Laisses le scanner le pc...
A la fin du scan, clique sur Afficher les résultats
Si des elements on ete trouvés :
> click sur supprimer la selection.si il t'es demandé de redemarrer > click sur "oui".
A la fin un rapport va s'ouvrir;
sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp.

a+

je posterai le rapport demain

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4213

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

18/06/2010 23:03:32
mbam-log-2010-06-18 (23-03-32).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 125873
Temps écoulé: 7 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

cela c'est terminer rapidement donc voila le rapport..
je pense que s'est fini !!
plus de malware !!

merci beaucoup

a+

Pour desinstaller les outils utilisés

Telecharge ToolsCleaner2--> http://pc-system.fr/TC/ToolsCleaner2.exe
-Une fois téléchargé, installe-le et lance-le
-Clique sur Recherche et laisse le scan se terminer
-Clique sur SUPPRESSION
-Clique sur Quitter pour que le rapport puisse se créer
-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt


puis

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
http://www.01net.com/...

* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre).
* Décoche la case plus vieux que 24 h

TRES IMPORTANT:

---> Il est nécessaire de désactiver,redémarrer puis réactiver la restauration système pour la purger :
XP:
http://service1.symantec.com/...
VISTA:
http://www.commentcamarche.net/...

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
http://www.vulgarisation-informatique.com/creer-point-restauration.php


---> Changes le statut de ce topic :
et mets le en "résolu"
http://www.commentcamarche.net/...


a+