Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Worm Bagle qui revient à chaque démarrage

Dernière réponse le 14 déc 2008 à 20:19:03 Mallox, le 13 déc 2008 à 15:28:16

Signaler ce message aux modérateurs

Bonjour,

Voilà depuis quelques temps déjà, je suis infecté par un virus détecté par Malwarebyte mais que celui-ci ne parvient pas à éradiquer.
Il semble que j'ai téléchargé un crack (ou keygène) lié à un jeu de tetris que je croyais légal (je le précise afin d'éviter les malentendus sur les logiciels pirates). Bref, ce crack semble être à l'origine du virus.

Le problème que j'ai en fait, c'est que même en utilisant elibagla, associé à navilog, ceux-ci semblent éradiquer le virus au démarrage, puis le même petit programme viral se réinstalle chaque fois sous mes yeux ensuite.

(Le voici: http://img361.imageshack.us/img361/4531/ntsbiv2.jpg )

Les fichiers infectés que j'arrive à localiser sont ceux-ci:

srosa2.sys
winfilse.exe
wintems.exe
mdelk.exe
flec006.exe
jusched.exe

A noter que les antivirus (avg, ne s'installe pas par ex) ou Hijackthis deviennent des applications win32 non valides... ce qui ne facilite pas la tâche.

Bref, S'il vous plait, que faire ?
SOS !

P.S: Je viens de faire une analyse par bitdefender en ligne, il m'a viré au moins 500 fichiers infectés dont par le worm, et ce programme s'est réinstallé au démarrage....

Configuration: Windows XP
Firefox 3.0.4

Meilleures réponses pour « worm Bagle qui revient à chaque démarrage » dans :

Le Trojan I-Worm/Bagle s'accroche ! (Résolu) Voir

Worm bagle (Résolu) Voir

Virus nommé : I-WORM/BAGLE.CH (Résolu) Voir

Comment supprimer le virus Beagle/Bagle ? VoirLe malware Bagle est en réalité un ver informatique se propageant essentiellement par les logiciels P2P et via de faux cracks (= logiciels piratés !), ainsi que par mail. L'internaute croyant télécharger un crack pour un logiciel en faisant une...

About:blank - Page de démarrage remplacée Voir"Ma page de démarrage a été remplacée par une autre. J'ai beau restaurer mes réglages dans les options d'Internet Explorer, l'autre page revient." Vous êtes victime d'une forme de malveillance appelée Hijack ( hijacking ). Certains de ces hijack...

[Windows] Démarrage en mode sans échec VoirRedémarrer en mode sans échec, pourquoi et comment ? Démarrer en mode sans échec avec Windows XP et Vista Méthode avec l'utilitaire de configuration système Sous XP Sous Vista Mode Sans Échec avec prise en charge réseau À voir...

Worm Bagle.JT (Résolu) Voir

Worm bagle désinfecté ? (Résolu) Voir

Infecté par TR/RKit.Bagle.Gl et WORM/Bagle.GY (Résolu) Voir

Mise en place d'une démarche qualité VoirMise en place d'une démarche qualité L'amélioration de la qualité (réduction des non-qualités et amélioration des processus de travail) dans une entreprise demande une réflexion associant la direction et l'ensemble du personnel afin de définir des...

Windows 7 - Barre des tâches et menu démarrer VoirLA BARRE DES TACHES ET LE MENU DEMARRER Cet élément clé du Bureau de Windows est situé en bas de l’écran, sur toute sa largeur. C’est l’un des aspects du système qui a le plus évolué entre Windows Vista et Windows 7. Pour commencer, elle est plus...

Posez votre question Répondre

neor, le 13 déc 2008 à 15:34:47

Bonjour,

un crack legal lol

Infection par un Bagle :

1-IMPORTANT :
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essaye surtout de te rappeler si récemment tu n'as pas cliquer sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... Wink

2-Télécharge FindyKill de Chiquitine29 :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

->Enregistre le sur ton bureau et pas ailleurs !

!! Déconnecte toi et ferme toutes applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

-> Clique sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.

Notes importantes :
* si tu as le prg Elibagla sur ton PC , supprime le ( risque de conflit entre les deux outils ) .

--> Double clique sur le raccourci " FindyKill " qui est sur ton bureau .
( sur la 1er fenêtre , tapes f puis [entrèe] pour la version en français ).

-->choisis l'option 1 ( recherche ) . Puis laisse travailler l'outil sans rien toucher ...

Une fois terminé, poste le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Tuto : http://www.malekal.com/tutorial_FindyKill.php

Répondre à neor

Mallox, le 14 déc 2008 à 08:45:38

Bonjour et merci.
Par contre je n'ai pas trouvé elibagla dans les suppressions programmes. Je ne sais pas si je peux le virer comme ça manuellement...
Bref, voici le rapport de Findykill:

----------------- FindyKill V4.700 ------------------

* User : mallox - MALLOX-YS21TF2L
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 13/11/08 par Chiquitine29
* Recherche effectuée à 8:36:40 le 14/12/2008
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\DeltTray.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

Found ! [13/12/2008 14:31] - "C:\Muestras"
Found ! [13/12/2008 14:50] - C:\InfoSat.txt

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Found ! - C:\WINDOWS\prefetch\100640.EXE-228B7256.pf
Found ! - C:\WINDOWS\prefetch\101343.EXE-05663DB9.pf
Found ! - C:\WINDOWS\prefetch\102781.EXE-0621DEF7.pf
Found ! - C:\WINDOWS\prefetch\102890.EXE-0AB25541.pf
Found ! - C:\WINDOWS\prefetch\109718.EXE-008E268F.pf
Found ! - C:\WINDOWS\prefetch\122375.EXE-037B3E1F.pf
Found ! - C:\WINDOWS\prefetch\126281.EXE-3B692692.pf
Found ! - C:\WINDOWS\prefetch\128015.EXE-0FEADE44.pf
Found ! - C:\WINDOWS\prefetch\133031.EXE-1769E84F.pf
Found ! - C:\WINDOWS\prefetch\133828.EXE-25B17B55.pf
Found ! - C:\WINDOWS\prefetch\137781.EXE-3579BD0E.pf
Found ! - C:\WINDOWS\prefetch\143984.EXE-28658F19.pf
Found ! - C:\WINDOWS\prefetch\147515.EXE-0A7828FE.pf
Found ! - C:\WINDOWS\prefetch\62437.EXE-04F77008.pf
Found ! - C:\WINDOWS\prefetch\66000.EXE-09757EAA.pf
Found ! - C:\WINDOWS\prefetch\67125.EXE-05DD59F1.pf
Found ! - C:\WINDOWS\prefetch\68062.EXE-0EBF84D0.pf
Found ! - C:\WINDOWS\prefetch\70546.EXE-18472330.pf
Found ! - C:\WINDOWS\prefetch\76390.EXE-30538CBD.pf
Found ! - C:\WINDOWS\prefetch\81015.EXE-163045CF.pf
Found ! - C:\WINDOWS\prefetch\84734.EXE-134EFDF5.pf
Found ! - C:\WINDOWS\prefetch\84859.EXE-362BDA5D.pf
Found ! - C:\WINDOWS\prefetch\86953.EXE-339E364E.pf
Found ! - C:\WINDOWS\prefetch\88812.EXE-00440A07.pf
Found ! - C:\WINDOWS\prefetch\89062.EXE-1A3E189C.pf
Found ! - C:\WINDOWS\prefetch\89125.EXE-09BC1BAC.pf
Found ! - C:\WINDOWS\prefetch\89906.EXE-1BAD61EE.pf
Found ! - C:\WINDOWS\prefetch\90078.EXE-08F84C93.pf
Found ! - C:\WINDOWS\prefetch\90593.EXE-04486F9B.pf
Found ! - C:\WINDOWS\prefetch\90984.EXE-33E2F588.pf
Found ! - C:\WINDOWS\prefetch\91281.EXE-10EC5298.pf
Found ! - C:\WINDOWS\prefetch\91593.EXE-23C8569F.pf
Found ! - C:\WINDOWS\prefetch\93718.EXE-03E70B81.pf
Found ! - C:\WINDOWS\prefetch\95906.EXE-1A7FFEA0.pf
Found ! - C:\WINDOWS\prefetch\FLEC006.EXE-04CB8D3D.pf
Found ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf
Found ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf
Found ! - C:\WINDOWS\Prefetch\AUPATCH.DAT-151BBD6D.pf
Found ! - C:\WINDOWS\Prefetch\PATCH.EXE-2F5F8BDB.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

Found ! [13/12/2008 18:45] - C:\WINDOWS\system32\mdelk.exe
Found ! [13/12/2008 18:45] - C:\WINDOWS\system32\wintems.exe
Found ! [14/12/2008 08:12] - C:\WINDOWS\system32\ban_list.txt

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

Found ! [14/12/2008 08:11] - C:\WINDOWS\system32\drivers\srosa.sys
Found ! [14/12/2008 08:11] - C:\WINDOWS\system32\drivers\srosa2.sys
Found ! [27/07/2004 01:05] - C:\WINDOWS\system32\drivers\winfilse.exe
Found ! [14/12/2008 08:14] - "C:\WINDOWS\system32\drivers\downld"
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\103453.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\106796.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\142687.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\146671.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\148109.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\151406.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\179375.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\182031.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\187875.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\190359.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\59281.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\63875.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\70437.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\70875.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\72812.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\77437.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\78687.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\80718.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\83921.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\84734.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\89062.exe
Found ! [14/12/2008 08:14] C:\WINDOWS\system32\drivers\downld\90078.exe

»»»» Presence des fichiers dans C:\Documents and Settings\mallox\Application Data

Found ! [14/12/2008 08:12] - "C:\Documents and Settings\mallox\Application Data\m\flec006.exe"
Found ! [14/12/2008 08:12] - "C:\Documents and Settings\mallox\Application Data\m\list.oct"
Found ! [13/12/2008 18:46] - "C:\Documents and Settings\mallox\Application Data\m\data.oct"
Found ! [13/12/2008 18:46] - "C:\Documents and Settings\mallox\Application Data\m\srvlist.oct"
Found ! [13/12/2008 18:49] - "C:\Documents and Settings\mallox\Application Data\m\shared"
Found ! [13/12/2008 18:45] - "C:\Documents and Settings\mallox\Application Data\m"

»»»» Presence des fichiers dans C:\DOCUME~1\mallox\LOCALS~1\Temp

»»»» Presence des fichiers dans C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5

Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\b64[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\b64[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\b64[3].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\b64[4].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\b64[5].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\b64[6].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\b64_1[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\b64_1[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\b64_2[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\b64_3[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\b64_3[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\b64_3[3].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\mxd[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\mxd[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\mxd[4].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\0JBB80HQ\mxd[5].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\b64[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\b64[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\b64[3].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\b64[4].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\b64[5].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\b64_1[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\b64_2[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\b64_2[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\b64_2[3].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\b64_3[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\b64_3[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\b64_3[3].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\b64_3[4].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\67EXRNZW\mxd[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\b64[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\b64[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\b64[3].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\b64[4].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\b64[5].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\b64[6].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\b64_1[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\b64_1[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\b64_2[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\b64_3[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\b64_3[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\mxd[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\mxd[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\9XU09RYB\mxd[3].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\EGGTTNWW\b64[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\EGGTTNWW\b64[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\EGGTTNWW\b64[3].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\EGGTTNWW\b64_1[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\EGGTTNWW\b64_1[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\EGGTTNWW\b64_2[1].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\EGGTTNWW\b64_2[2].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\EGGTTNWW\b64_2[3].jpg
Found ! - C:\Documents and Settings\mallox\Local Settings\Temporary Internet Files\Content.IE5\EGGTTNWW\mxd[2].jpg

--------------- [ Registre / Startup ] ----------------

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
Logitech Hardware Abstraction Layer REG_SZ KHALMNPR.EXE
DeltTray REG_SZ DeltTray.exe
Cmaudio REG_SZ RunDll32 cmicnfg.cpl,CMICtrlWnd
BJCFD REG_SZ C:\Program Files\BroadJump\Client Foundation\CFD.exe
StandardInstall REG_SZ
NeroFilterCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe
Motive SmartBridge REG_SZ C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
SSBkgdUpdate REG_SZ "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
PaperPort PTD REG_SZ C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
IndexSearch REG_SZ C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
SetDefPrt REG_SZ C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
ControlCenter2.0 REG_SZ C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
TkBellExe REG_SZ "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
M-Audio Delta Taskbar Icon REG_SZ C:\WINDOWS\System32\DeltTray.exe
QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime
EoEngine REG_SZ

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe

--------------- [ Registre / Clés infectieuses ] ----------------

Found ! - HKEY_USERS\S-1-5-21-796845957-436374069-1957994488-1003\Software\Local AppWizard-Generated Applications\flec006
Found ! - HKEY_USERS\S-1-5-21-796845957-436374069-1957994488-1003\Software\Local AppWizard-Generated Applications\keygen
Found ! - HKEY_USERS\S-1-5-21-796845957-436374069-1957994488-1003\Software\Local AppWizard-Generated Applications\winfilse
Found ! - HKEY_USERS\S-1-5-21-796845957-436374069-1957994488-1003\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-796845957-436374069-1957994488-1003\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-796845957-436374069-1957994488-1003\Software\FFC
Found ! - HKEY_USERS\S-1-5-21-796845957-436374069-1957994488-1003\Software\FirtR
Found ! - HKEY_USERS\S-1-5-21-796845957-436374069-1957994488-1003\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\flec006
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\keygen
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - HKEY_CURRENT_USER\Software\FirtR
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S

--------------- [ Etat / Services ] ----------------

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

- sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

- sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

- sans echec non fonctionnel !!

+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 3

/!\ Ip6Fw - Type de démarrage = 4

/!\ SharedAccess - Type de démarrage = 4

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Lecteur fixe

G: - Lecteur fixe

+- presence des fichiers :

--------------- [ Registre / Mountpoint2 ] ----------------

-> Not found !

------------------- ! Fin du rapport ! --------------------

Répondre à Mallox

neor, le 14 déc 2008 à 10:37:09

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 2 (Suppression)

/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu'à l'apparition du message "nettoyage effectué"

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

-------> ensuite post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

Répondre à neor

Mallox, le 14 déc 2008 à 11:55:31

Bah en fait, j'ai toujours le même problème avec findykill en fonction 2 (suppression des fichiers infectieux), c'est qu'il met un message (ultra rapide, 1 sec) "le fichier spécifié est introuvable" et le pc redémarre, puis findykill, lui ne se relance pas. Si je le relance en 2, même chose. Bref, il n'a pas l'air de comprendre et de trouver les chemins. Enfin je dis ça, mais j'y comprends rien.

SOS !

Répondre à Mallox

neor, le 14 déc 2008 à 11:57:30

Ok

Télécharge HijackThis (outils de dignostic) ici :

-> Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

-> Clique sur Install ensuite sur I Accept

-> Clique sur Do a scan system and save log file

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

Répondre à neor

Mallox, le 14 déc 2008 à 12:06:11

ça me met que ce n'est pas une application win32 valide lorsque j'essaie de le lancer. (Hijackthis)

Répondre à Mallox

neor, le 14 déc 2008 à 12:08:51

C du lourd

pour debloquer hijack faudrais pourvoir executer findykill mais pour debloquer findykill je sais pas trop

si quelqu'un a une astuce SVP

Répondre à neor

Mallox, le 14 déc 2008 à 17:06:08

Bah le pire, c'est que Navilog semble faire du mal au virus. Hélas, une fois son travail de suppression effectué au démarrage (je le vois à l'écran de veille qui redéfile alors normalement et non de manière haché comme depuis le début de l'infection), le programme viral (voir le lien dans le 1er post) se réinstalle.

Répondre à Mallox

Chiquitine29, le 14 déc 2008 à 17:12:47

Salut,

la version de findykill qque tu utilise n est pas a jours ,

* Outils Mis a jours le 13/11/08 par Chiquitine29

désinstal la et utilise celle ci : FindyKill

et laisse l outils sinstaller dans programme file

bonne suite
A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
Bonne écoute
@ + T' Chiki.

Répondre à Chiquitine29

neor, le 14 déc 2008 à 17:35:12

Merci

Répondre à neor

Mallox, le 14 déc 2008 à 18:01:02

Merci beaucoup pour votre aide neor et chiquitine, mais j'avais déjà installé cette version, je viens du reste de la réinstaller et les messages sont les mêmes. Je patauge et ça m'agace d'autant que ma souris se fige (par le virus semble t-il donc) et je dois sans cesse redémarrer l'odi.
Bref, je tourne en rond.

Répondre à Mallox

Mallox, le 14 déc 2008 à 20:19:03

Le truc étrange c'est que lorsque je laisse ouvert le programme NTSB (investigators flight recorders (black box) analyzer au lieu de le fermer, le virus me laisse d'avantage tranquille. La souris ne se fige plus ou bcp moins... étrange.
Personne n'a déjà eu ce programme absurde sur son pc ?

( http://img361.imageshack.us/img361/4531/ntsbiv2.jpg )

Répondre à Mallox

Posez votre question Répondre