Aide pour virus Bagle Svp !Résolu/Fermé

Question

Bonjour,

Je suis novice en la matière mais après recherche, tout porte à croire que le virus qui a infecté mon pc est "bagle"
Mon avast ne se lance plus, spybot non plus, j'ai chopé le virus après l'ouverture d'un dossier rar...

J'ai donc commencé ces démarches :

Installe ce fichier Elibagla 10.40  sur le bureau. 
ensuite double-clic sur Elibagla.exe 

>laisse la case  "eliminar ficheros automaticamente" coché 
>clique sur"explorar" 
>laisse-le travailler 


Et je ne sais pas quoi faire après. La recherche est finie et il ne s'est rien passé. 
Nombre de fichier infectés : 0
Nombre de fichier supprimer : 0

et je ne comprends pas ça qui est dans la suite des démarches! :
>poste le rapport final qui sera  dans c:\infosat.txt 

merci de m'aider!!!

sherred · Answer

--> Télécharge FindyKill sur ton bureau : 
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe 

--> Lance l'installation avec les paramètres par defaut 

--> Double-clique sur le raccourci FindyKill sur ton bureau 

--> Au menu principal, choisis l'option 1 (Recherche) 

--> Poste le rapport FindyKill.txt 

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

zanarkand8 · Answer

Voilà, j'ai trouvé le bilan :


	  (26-5-2009  14:13:48)
EliBagle v12.58  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.58
 a "virus@satinfo.es".  Gracias.
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)
C:\USERS\CLéMENT\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\CLéMENT\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\DOWNLD\207684.EXE --> Eliminado Bagle.dldr
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\DOWNLD\400470.EXE --> Eliminado Bagle
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\DOWNLD\416507.EXE --> Eliminado Bagle
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\DOWNLD\452730.EXE --> Eliminado Bagle
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\DOWNLD\571852.EXE --> Eliminado Bagle
Reinicie para Completar la Limpieza.

	  (26-5-2009  14:14:49)
EliBagle v12.58  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios:   19677
Nº Total de Ficheros:      125494
Nº de Ficheros Analizados: 20724
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

sherred · Answer

fait  findykill  stp 
http://www.commentcamarche.net/forum/affich 12619302 aide pour virus bagle svp?#1

zanarkand8 · Answer

Ok je te tiens au courant
merci!

zanarkand8 · Answer

Voici le rapport :


############################## [ FindyKill V4.730 ]

# User : Clément (Administrateurs) # PC-DE-CLÉMENT
# Update on 25/05/09 by Chiquitine29
# Start at: 16:45:59 | 26/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Core(TM)2 Duo CPU     T8100  @ 2.10GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1229 [VPS 081127-1] 4.8.1229 [ Enabled | Updated ]

# C:\ # Disque fixe local # 221,65 Go (86,53 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque amovible
# F:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Sony\Marketing Tools\MarketingTools.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\Windows\System32undll32.exe
C:\Windows\System32undll32.exe
C:\Windows\ehome\ehtray.exe
C:\Users\Clément\AppData\Roaming\drivers\winupgro.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\stacsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Clément\AppData\Roaming\m\flec006.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wintems.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe
 
################## [ Processus infectieux stoppés ]  

"C:\Users\Clément\AppData\Roaming\drivers\winupgro.exe"  (1364)
"C:\Users\Clément\AppData\Roaming\m\flec006.exe"  (4436)
"C:\Windows\system32\wintems.exe"  (5108)

################## [ Fichiers / Dossiers infectieux ]

Found ! C:\Windows\Prefetch\207684.EXE-239D4877.pf 
Found ! C:\Windows\Prefetch\400470.EXE-7460AEFB.pf 
Found ! C:\Windows\Prefetch\WINTEMS.EXE-85AF748B.pf 
Found ! C:\Windows\system32\ban_list.txt 
Found ! C:\Windows\system32\mdelk.exe 
Found ! C:\Windows\system32\wintems.exe 
Found ! "C:\Users\Cl‚ment\AppData\Roaming\drivers" 
Found ! "C:\Users\Cl‚ment\AppData\Roaming\drivers\downld" 
Found ! "C:\Users\Cl‚ment\AppData\Roaming\drivers\wfsintwq.sys" 
Found ! "C:\Users\Cl‚ment\AppData\Roaming\drivers\winupgro.exe" 
Found ! "C:\Users\Cl‚ment\AppData\Roaming\m" 
Found ! "C:\Users\Cl‚ment\AppData\Roaming\m\flec006.exe" 
Found ! "C:\Users\Cl‚ment\AppData\Roaming\m\shared" 

################## [ Infected Temp Files ]

Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\38GW4F08\b64_1[1].jpg  
Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\38GW4F08\b64_3[1].jpg  
Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\7RJUZZ0W\b64_1[1].jpg  
Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\7RJUZZ0W\b64_3[1].jpg  
Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\DG3PC8G6\b64[1].jpg  
Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\Z4H8C6S7\b64[1].jpg  
Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\Z4H8C6S7\file[1].txt  

################## [ Registre / Clés infectieuses ]

Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA   
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S  
Found ! HKEY_CURRENT_USER\Software\MuleAppData    
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"drvsyskit" 
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"german.exe" 
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"mule_st_key" 

# (!) HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# (!) HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1 

################## [ Recherche dans supports amovibles]

Found ! C:\InfoSat.txt 

################## [ Registre / Mountpoints2 ]

Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efd46ef2-b487-11dd-9627-001e3d896e5e}\Shell\AutoRun\command    
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efd46ef2-b487-11dd-9627-001e3d896e5e}\Shell\explore\Command    
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efd46ef2-b487-11dd-9627-001e3d896e5e}\Shell\open\Command    

################## [ ! Fin du rapport # FindyKill V4.730 ! ]

sherred · Answer

jolie infection  tu va avoir du boulot on ne finira pas ce soir 
lancer le nettoyage via FindyKill, relancez le programme.
Dans le menu principal, tapez 2 puis validez par entrée.
Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.
Le nettoyage va prendre quelques minutes... Appuez sur OK sur la fenêtre d'informations
Le fix peux avoir besoin de redémarrer l'ordinateur, un message vous en averti, vous devez appuyer sur une touche

ca devrai deja allez mieux
ensuite
télecharge Malwarebyte's ici http://www.malwarebytes.org/mbam/program/mbam-setup.exe
le programme va se mettre automatiquement a jour. 
S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici 
https://www.malekal.com/tutorial-aboutbuster/ 
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression". 

Click maintenant sur l´onglet recherche et coche la case : "executer un examen rapide". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection. 

si il t´es demandé de redemarrer > click sur "yes". 

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum. 

Copie et colle le rapport stp. 

PS : les rapport sont aussi rangé dans l onglet rapport/log


ensuite tu devras tres certainement reinstalle ton anti virus

fait egalement ce rapport
télécharge hijackthis http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 
-> enregistre la cible sous .... "le bureau" renomme HJTInstall.exe en par exemple HJT.exe 

-> Fais un double-clic sur "HJT.exe" afin de lancer l'installation 

-> Clique sur Install ensuite sur "I Accept" 

-> Clique sur" Do a scan system and save log file" 

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm

zanarkand8 · Answer

Bon c'est parti , écran noir avec ecriture verte et rouge et des fichiers corrompu (avast...)
Je suis sur un autre pc là.
le pb c'est que je suis au bureau et je vais bientôt devoir le quitter, je vais me trimballer avec mon pc portable ouvert dans la rue..!
Bon je vous tiens au courant
Merci bcp
(ça m'arrangerai que ce soit fini aujourdhui car je n'aurai accès à internet que jeudi soir apres..)

zanarkand8 · Answer

Est-ce que vous pensez que cette analyse va être longue?
merci de vos réponses

zanarkand8 · Answer

Heu voici le rapport tombé après l'analyse de Findykill .
Je continue avec malwarebytes?
Mais je ne comprends pas cette étape:

"S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici 
https://www.malekal.com/tutorial-aboutbuster/ "


Merci bcp



############################## [ FindyKill V4.730 ]

# User : Clément (Administrateurs) # PC-DE-CLÉMENT
# Update on 25/05/09 by Chiquitine29
# Start at: 16:55:57 | 26/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Core(TM)2 Duo CPU     T8100  @ 2.10GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1229 [VPS 081127-1] 4.8.1229 [ Enabled | Updated ]

# C:\ # Disque fixe local # 221,65 Go (86,55 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque amovible
# F:\ # Disque CD-ROM

############################## [ Active Processes ] 

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\stacsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe

################## [ Infected Files \ Folders ]

Deleted ! C:\Windows\Prefetch\207684.EXE-239D4877.pf  
Deleted ! C:\Windows\Prefetch\400470.EXE-7460AEFB.pf  
Deleted ! C:\Windows\Prefetch\WINTEMS.EXE-85AF748B.pf  
Deleted ! C:\Windows\system32\ban_list.txt  
Deleted ! C:\Windows\system32\mdelk.exe  
Deleted ! C:\Windows\system32\wintems.exe  
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\drivers\wfsintwq.sys"  
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\drivers\winupgro.exe"  
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\m\flec006.exe"  
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\drivers\downld"  
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\drivers"  
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\m\shared"  
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\m"  

################## [ Infected Temp Files ]

Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\38GW4F08\b64_1[1].jpg  
Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\38GW4F08\b64_3[1].jpg  
Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\7RJUZZ0W\b64_1[1].jpg  
Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\7RJUZZ0W\b64_3[1].jpg  
Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\DG3PC8G6\b64[1].jpg  
Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\Z4H8C6S7\b64[1].jpg  
Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\Z4H8C6S7\file[1].txt  

################## [ Registry / Infected keys ] 

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA   
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA   
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA    
Deleted ! HKEY_CURRENT_USER\Software\MuleAppData     
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro   
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"drvsyskit"  
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"german.exe"  
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"mule_st_key"  

################## [ Cleaning Removable drives ] 

Deleted ! C:\InfoSat.txt  
Deleted ! C:\Muestras  

################## [ Registry / Mountpoint2 ]

Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efd46ef2-b487-11dd-9627-001e3d896e5e}\Shell\AutoRun\command   
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efd46ef2-b487-11dd-9627-001e3d896e5e}\Shell\explore\Command   
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efd46ef2-b487-11dd-9627-001e3d896e5e}\Shell\open\Command   

################## [ States / Restarting of services ]  

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3  
# EapHost -> # Type of startup =2  
# Wlansvc -> # Type of startup =2  
# SharedAccess -> # Type of startup =2  
# wuauserv -> # Type of startup =2  
# wscsvc -> # Type of startup =2  
# WinDefend -> # Type of startup =2  
# -> UAC is Enable.  

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Users\Cl‚ment\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : b9da0be4
MD5 .... : 922af2d057d22978b219d38fe98c7ab6 
 
Deleted ! : C:\Users\Clément\AppData\Local\mgasoai.exe
# Taille : 851968 # MD5 : 922AF2D057D22978B219D38FE98C7AB6




################## [ Corrupted files # Re-Installation required ] 
 
C:\Program Files\Alwil Software\Avast4\ashAvast.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

################################### [ Cracks / Keygens / Serials ]

# -> Nothing found !  

################## [ ! End of Report # FindyKill V4.730 ! ]

zanarkand8 · Answer

Voici le rapport du logiciel Malwarebytes 
Je continue les étapes :


Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2181
Windows 6.0.6001 Service Pack 1

26/05/2009 18:38:21
mbam-log-2009-05-26 (18-38-21).txt

Type de recherche: Examen rapide
Eléments examinés: 71159
Temps écoulé: 2 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\OOO (Rogue.LivePlayer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\OOO (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\TDSScrrx.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

zanarkand8 · Answer

Pour finir voici le rapport de Hijackthis:
Je suis de retour sur internet jeudi soir pour voir votre réponse (en espérant que tout est rétabli!)
Merci encore.!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:53:07, on 26/05/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Sony\Marketing Tools\MarketingTools.exe
C:\Windows\System32undll32.exe
C:\Windows\System32undll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ISBMgr.exe] "C:\Program Files\Sony\ISB Utility\ISBMgr.exe"
O4 - HKLM\..\Run: [MarketingTools] C:\Program Files\Sony\Marketing Tools\MarketingTools.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [mgasoai] "c:\users\clément\appdata\local\mgasoai.exe" mgasoai
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/VistaMSNPUpldfr-fr.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\stacsv.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Content Metadata Intelligent Analyzing Manager (VcmIAlzMgr) - Sony Corporation - C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
O23 - Service: VAIO Content Metadata XML Interface (VcmXmlIfHelper) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

sherred · Answer

bien on va reproteger ton pc avec un bon antivirus

commence par desinstaller cette daub de avast
désinstaller Avast!   en sans echec


Utilitaire de désinstallation d'Avast! : aswClear.exe

https://www.avast.com/fr-fr/uninstall-utility
tuto    merci daniel85
http://cjoint.com/data/myuPOfIxwL.htm
Pour démarrer en mode sans échec 

>>1--demarre ou redémarre l&#8217;ordinateur.  L'affichage affichent la progression du BIOS, 

>>2--A la fin du chargement du BIOS, tapotte sur la touche F8 de ton clavier.  jusqu'à ce que le menu des options avancées de Windows apparaisse. Si tu appuie sur la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "erreur clavier". Dans ce cas  redémarre l'ordinateur et essaye de nouveau. 

>>4--En utilisant les flèches de ton clavier, sélectionne « Mode sans échec »  dans le menu puis appuie sur Entrée.
et utilise aswClear.exe
redemarre
ensuite va sur clubic  et installe  antivir de avira

si le demarrage sans echec ne marche pas c'est a cause du virus
https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe 
ou allez ici http://www.assistepc.com/forum/reparer-le-mode-sans-echec-de-windows-vt867.html 

quand avira sera installe fait un scan
a+

zanarkand8 · Answer

Bonjour!
Je ne suis pas là jusqu'à lundi soir donc je m'occupe de tout ça mardi.
Je vous tiens au courant mais cette phrase me fait peur!

"Si le demarrage sans echec ne marche pas c'est a cause du virus "

Il est possible qu'il y ai encore le virus ?

Merci bcp!

sherred · Answer

1 non , mais beagle est particulièrement résistant, donc ..
2 si ton antivirus ne fonctionne pas , ainsi que pare feux et autres antispy
également le démarrage sans échec ..c'est parce que le virus , y a inscrit des 
code malicieux ,même si le virus a disparu , ces programmes restes inutilisables

zanarkand8 · Answer

Bonjour, 
bon j'ai retéléchargé ccleaner ainsi que spybot, ils fonctionnent correctement maintenant.
Je m'occupe d'antivir ce soir.
Seul problème remarqué, dans les mise à jour de windows, lorsque je vais sur l'ecran de 'windows update', on me dit qu'il y a de nouvelles mises à jours mais on me dit pas combien, ni si elle sont 'recommandés' ou 'importantes'.
Est-ce un pb avec bagle?
merci !

zanarkand8 · Answer

Je viens de redémarrer la machine, tout est correct apparement
1 mise à jour disponible importante "windos service pack 2"

Merci!

sherred · Answer

ok ca a l'air d'allez ?

zanarkand8 · Answer

oui apparement tout fonctionne de nouveau.
Par contre sur l'ecran de window update, le pb reste le même ... c'est bizarre mais bon , c'est pas trop génant.
Je te tiens au courant d'éventuel soucis.
merci !

Aide pour virus Bagle Svp !

18 réponses

Discussions similaires

Newsletters