Help me! Impossible d'enlever un virus

[karine75]

Bonjour,

Quelqu'un pourrait-il m'aider, j'ai un virus, je pense que c'est le virus Bagle, aucun antivirus que je télécharge ne marche, je n'ai plus accès au mode sans échec de mon ordi. Hier en tapant Bagle dans la recherche de mon ordi, i l'a trouvé et je pense avoir fait une erreur en l'effaçant, j'ai trouvé un kit de desinfection mais il ne trouve pas ce virus, je vous demande de l'aide car je n'y connais pas grand chose....

Merci d'avance

Karine

[Pac428]

Bonjour Karine.
Peux-tu commencer par une analyse HijackThis
tuto et téléchargement => ICI <=
et nous poster le résultat ?

++

[r@in | b0w]

Bonjour.

HiJackThis sera utile, il est impératif de le renommer avant de l'utiliser.

Ensuite, tu télécharges FindyKill.

Tu l'installes en gardant les paramètres par défaut.

Tu branches tous tes supports de stockages USB à ta machine.

Tu double cliques ensuite sur le raccourci FindyKill sur ton Bureau pour lancer l'utilitaire.

Tu choisis la langue française en appuyant sur la touche [F] puis tu choisis l'option 1.

Après avoir vérifié les fichiers, FindyKill cherchera d'autres infections.

A la fin de l'analyse, il sera indiqué:

Code: Tout sélectionner

Recherche effectuée!

Tu copies-colles le rapport d'analyse dans ton prochain message, il est présent ici: C:FindyKill.txt.


Ps: il est impossible que tu aies trouvé Bagle, c'est un ver qui se cache dans les fichiers cachés et qui n'a pas de nom.

Ps2: il s'attrape en téléchargeant des cracks (logiciels piratés) via des réseaux peer-to-peer. Tu supprimes tout ce que tu as téléchargé sinon la désinfection sera inutile, Bagle étant automatiquement réinstallé à chaque lancement du crack vérolé.

[karine75]

Je l'ai téléchargé mais ca ne marche pas "ce n'est pas une application win32 valide"

[r@in | b0w]

Il va falloir suivre le tutorial correctement...

HiJackThis sera utile, il est impératif de le renommer avant de l'utiliser.

Tu supprimes tout ce que tu as d'HiJackThis.

Tu le télécharges à nouveau et tu le renommes avant de l'utiliser, cf le tutorial!

[karine75]

Il va falloir suivre le tutorial correctement...

HiJackThis sera utile, il est impératif de le renommer avant de l'utiliser.

Tu supprimes tout ce que tu as d'HiJackThis.

Tu le télécharges à nouveau et tu le renommes avant de l'utiliser, cf le tutorial!

Même en le renomment ça ne marche pas ... apparemment le virus bagle bloque les exe

[karine75]

Peut-être n'est-ce pas le virus bagle ? j'en sais rien, en tout cas je ne sais pas comment faire ...

[karine75]

----------------- FindyKill V4.712 ------------------

* User : BUREAU - 119131910314
* Emplacement : C:Program FilesFindyKill
* Outils Mis a jours le 14/01/09 par Chiquitine29
* Recherche effectuée à 16:17:10 le 16/01/2009
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:Program FilesBonjourmDNSResponder.exe
C:Program FilesCanonDIASCnxDIAS.exe
c:APPSPowercinemaKernelTVCLCapSvc.exe
C:Program FilesPrevxCSIprevxcsi.exe
c:APPSPowercinemaKernelCLML_NTServiceCLMLServer.exe
C:PROGRA~1McAfeeMSCmcmscsvc.exe
C:WINDOWSRTHDCPL.EXE
C:WINDOWSsystem32RUNDLL32.EXE
C:PROGRA~1GOTOSO~1VADERE~1Vaderetro_oe.exe
C:Program FilesJavajre1.5.0_04injucheck.exe
C:Program FilesSonicDigitalMedia LE v7MyDVD LEDetectorApp.exe
C:APPSPowercinemaPCMService.exe
C:appsABoardABoard.exe
C:Program FilesElaborate BytesVirtualCloneDriveVCDDaemon.exe
C:appsABoardAOSD.exe
C:Program FilesQuickTimeqttask.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSSystem32snmp.exe
C:Program FilesMicrosoft ActiveSyncwcescomm.exe
C:Program FilesFichiers communsUlead SystemsDVDULCDRSvr.exe
C:Program FilesSonicDigitalMedia LE v7MyDVD LEUSBDeviceService.exe
C:Program FilesPrevxCSIprevxcsi.exe
C:PROGRA~1MICROS~3 apimgr.exe
C:Program FilesiPodiniPodService.exe
C:Program FilesAdobeAdobe Illustrator CS2Support FilesContentsWindowsIllustrator.exe
D:DOCUME~1BUREAULOCALS~1TempAdobelm_Cleanup.0001
C:Program FilesFichiers communsAdobe Systems SharedServiceAdobelmsvc.exe
D:DOCUME~1BUREAULOCALS~1TempAdobelm_Cleanup.0001
C:WINDOWSsystem32svchost.exe
C:WINDOWSexplorer.exe
C:PROGRA~1MOZILL~2FIREFOX.EXE

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:

Found ! [15/01/2009 18:39] - "C:Muestras"
Found ! [15/01/2009 16:08] - C:InfoSat.txt

»»»» Presence des fichiers dans C:WINDOWS


»»»» Presence des fichiers dans C:WINDOWSPrefetch

Found ! - C:WINDOWSprefetch14626250.EXE-18B83A36.pf
Found ! - C:WINDOWSprefetch14643328.EXE-01929F56.pf
Found ! - C:WINDOWSprefetch14650671.EXE-18096F86.pf
Found ! - C:WINDOWSprefetchFLEC006.EXE-36D93A4A.pf
Found ! - C:WINDOWSprefetchWINUPGRO.EXE-398876F9.pf

»»»» Presence des fichiers dans C:WINDOWSsystem32

Found ! [15/01/2009 15:37] - C:WINDOWSsystem32mdelk.exe
Found ! [15/01/2009 15:37] - C:WINDOWSsystem32wintems.exe
Found ! [16/01/2009 15:43] - C:WINDOWSsystem32an_list.txt

»»»» Presence des fichiers dans C:WINDOWSsystem32drivers

Found ! [16/01/2009 11:41] - C:WINDOWSsystem32driverssrosa.sys
Found ! [06/01/2009 19:02] - C:WINDOWSsystem32driverswinfilse.exe
Found ! [16/01/2009 16:01] - "C:WINDOWSsystem32driversdownld"

»»»» Presence des fichiers dans D:Documents and SettingsBUREAUApplication Data

Found ! [16/01/2009 15:45] - "D:Documents and SettingsBUREAUApplication Datamflec006.exe"
Found ! [16/01/2009 15:45] - "D:Documents and SettingsBUREAUApplication Datamlist.oct"
Found ! [16/01/2009 15:45] - "D:Documents and SettingsBUREAUApplication Datamdata.oct"
Found ! [16/01/2009 15:45] - "D:Documents and SettingsBUREAUApplication Datamsrvlist.oct"
Found ! [16/01/2009 15:45] - "D:Documents and SettingsBUREAUApplication Datamshared"
Found ! [15/01/2009 17:21] - "D:Documents and SettingsBUREAUApplication Datam"
Found ! [06/01/2009 19:02] - "D:Documents and SettingsBUREAUApplication Datahidiresflec003.exe"
Found ! [16/01/2009 11:17] - "D:Documents and SettingsBUREAUApplication Datahidires"

»»»» Presence des fichiers dans D:DOCUME~1BUREAULOCALS~1Temp


--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion un]
CTFMON.EXE=C:WINDOWSsystem32ctfmon.exe
QuickTime Task="C:Program FilesQuickTimeqttask.exe" -atboottime
ccleaner="C:Program FilesCCleanerccleaner.exe" /AUTO
H/PC Connection Agent="C:Program FilesMicrosoft ActiveSyncwcescomm.exe"
HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversion unAdobeUpdater=
<NO NAME>=

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion un]
PHIME2002ASync=C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNC
PHIME2002A=C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMEName
RTHDCPL=RTHDCPL.EXE
Alcmtr=ALCMTR.EXE
NvCplDaemon=RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
nwiz=nwiz.exe /install
NvMediaCenter=RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
SunJavaUpdateSched=C:Program FilesJavajre1.5.0_04injusched.exe
Vade Retro Outlook Express="C:PROGRA~1GOTOSO~1VADERE~1Vaderetro_oe.exe"
DetectorApp=C:Program FilesSonicDigitalMedia LE v7MyDVD LEDetectorApp.exe
PCMService="c:APPSPowercinemaPCMService.exe"
ACTIVBOARD=c:appsABoardABoard.exe
VirtualCloneDrive="C:Program FilesElaborate BytesVirtualCloneDriveVCDDaemon.exe" /s
TkBellExe="C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osboot
QuickTime Task="C:Program FilesQuickTimeqttask.exe" -atboottime
iTunesHelper="C:Program FilesiTunesiTunesHelper.exe"
mcagent_exe="C:Program FilesMcAfee.comAgentmcagent.exe" /runkey
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversion unOptionalComponents=
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversion unOptionalComponentsIMAIL=
Installed=1
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversion unOptionalComponentsMAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversion unOptionalComponentsMSFS=
Installed=1

[HKEY_CURRENT_USERsoftwarelocal appwizard-generated applicationsflec003]
[HKEY_CURRENT_USERsoftwarelocal appwizard-generated applicationswinfilse]

--------------- [ Registre / Clés infectieuses ] ----------------


Found ! - HKEY_USERSS-1-5-21-2454163079-2084107392-3099256533-1007SoftwareLocal AppWizard-Generated Applicationswinfilse
Found ! - HKEY_USERSS-1-5-21-2454163079-2084107392-3099256533-1007Softwareisoft
Found ! - HKEY_USERSS-1-5-21-2454163079-2084107392-3099256533-1007SoftwareDateTime4
Found ! - HKEY_USERSS-1-5-21-2454163079-2084107392-3099256533-1007SoftwareFirtR
Found ! - HKEY_USERSS-1-5-21-2454163079-2084107392-3099256533-1007SoftwareMuleAppData
Found ! - HKEY_CURRENT_USERSoftwareLocal AppWizard-Generated Applicationswinfilse
Found ! - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessrosa
Found ! - HKEY_LOCAL_MACHINESYSTEMControlSet001Servicessrosa
Found ! - HKEY_LOCAL_MACHINESYSTEMControlSet002Servicessrosa
Found ! - HKEY_LOCAL_MACHINESYSTEMControlSet003Servicessrosa
Found ! - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINESYSTEMControlSet002EnumRootLEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINESYSTEMControlSet003EnumRootLEGACY_SROSA
Found ! - HKEY_CURRENT_USERSoftwareisoft
Found ! - HKEY_CURRENT_USERSoftwareDateTime4
Found ! - HKEY_CURRENT_USERSoftwareFirtR

/! Infection active : HKLMSYSTEM...Servicessrosa -> Start = 0x1

--------------- [ Etat / Services ] ----------------

Clé manquante : HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden

/! Affichage des fichiers cachés non fonctionnel !!

Clé manquante : HKLMSYSTEMCurrentControlSetControlSafeBoot

/! Mode sans echec non fonctionnel !!

Clé manquante : HKLMSYSTEMCurrentControlSetControlSafeBootMinimal

/! Mode sans echec non fonctionnel !!

Clé manquante : HKLMSYSTEMCurrentControlSetControlSafeBootNetwork

/! Mode sans echec non fonctionnel !!



+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

/! Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 3

/! Ip6Fw - Type de démarrage = 4

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = "Start"

wscsvc - Type de démarrage = "Start"


--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Lecteur fixe

D: - Lecteur fixe


+- presence des fichiers :



--------------- [ Registre / Mountpoint2 ] ----------------

Found ! - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{4ebd1502-6cd2-11dc-9d03-0017316a3dea}ShellAutoRuncommand
Found ! - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{4ebd1502-6cd2-11dc-9d03-0017316a3dea}ShellexploreCommand
Found ! - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{4ebd1502-6cd2-11dc-9d03-0017316a3dea}ShellopenCommand
Found ! - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{5a612b0e-e5f1-11dc-9d87-0017316a3dea}ShellAutoRuncommand
Found ! - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{5a612b0e-e5f1-11dc-9d87-0017316a3dea}ShellexploreCommand
Found ! - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{5a612b0e-e5f1-11dc-9d87-0017316a3dea}ShellopenCommand


------------------- ! Fin du rapport ! --------------------

[r@in | b0w]

Ok.

Une seule vermine neutralise les antivirus et c'est le ver Bagle.

Tu as supprimé tes cracks?

Tu relances l'utilitaire en choisissant l'option 2.

La fenêtre de FindyKill deviendra rouge et tu auras un message d'avertissement. Tu valides en cliquant sur [Ok].

Tu laisses l'utilitaire travailler, il fera redémarrer deux fois ta machine comme prévu.

Ensuite, tu postes le rapport généré.

Tu fais un scan HiJackThis après cela.