[Résolu] Virus beagle/bagle

[cantofab]

Bonjour,

 

voilà j'ai un virus Beale/bagle.

 

Au début mon PC s'allumer jusqu'au bureau et s'éteigner au bout d'une minute mais maintenant il va directement sur la page bleu, donc je n'ai plus accès à mon bureau et donc impossible de télécharger quelconque fichiers pour lancer un scan.

Sur cette page bleu, il y a marqué la hose suivante:

le problème semble être la cause du fichier: wfsintwq.sys

DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS

et en bas de page, information technique: ***STOP: (0xF76E5E74,0000...........)

 

Voilà ce que j'ai essayé de faire:

j'ai rebooté avec le CD d'installation de W XP cela fait son travail jusqu'à l'installation, là le PC redémarre j'enlève le CD et il reviend sur cette page bleu.

 

Je suis plus quoi faire, merci de bien vouloir me filer un coup de main.

Modifié le 14 avril 2009 par cantofab

[Thanos]

salut

 

As tu utilisé un programme pour désinfecter et si oui lequel ?

[cantofab]

salut

 

As tu utilisé un programme pour désinfecter et si oui lequel ?

 

Salut,

 

et bien non comment je peux faire j'ai que la page bleue, j'ai pas accès à mon bureau!!!!!

[Thanos]

ok! j'ai pensé que le pc avait planté après utilisation d'un programme de désinfection

 

On va tenter de faire redémarrer le pc en utilisant la Console de Récupération >>

 

1°) Tout d'abord fais le nécéssaire pour que ton pc démarre en premier sur le lecteur cd. Si ce n'est pas le cas, il faut faire la modification dans le BIOS. C'est expliqué en images ici au cas où tu ne sais pas comment faire >> http://www.aidewindows.net/bios.php#modifBIOS

Une fois ceci fait, utilise la Console comme ceci >>

• Insères le disque d'installation Windows pour démarrer depuis le CD.
  
• Appuies sur n'importe quelle touche du clavier quand demandé.
  
• Appuies sur R pour charger la Console de récupération.
  
  
• Saisis ton mot de passe quand demandé. Si tu n'en a pas, appuies sur la touche [Entrée].
  
• Tu dois choisir dans quelle installation Windows va ouvrir une session. Tape 1 et appuies sur la touche [Entrée].
  
• Sur l'invite C:\Windows, tape le texte ci-dessous (en gras), et appuies sur la touche [Entrée] à la fin de chaque ligne.
  

disable srosa

disable sK9Ou0s

exit

 

Pour quitter la console et redémarrer le système, appuies sur la touche [Entrée].

 

La console de Récupération en détail ici

 

2°) Si le pc redémarre après ca, on utilise le programme suivant >>

 

• Fais un clic sur le bouton droit de ta souris ICI
  
• Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre.
  
• Dans le champs à droite de "Nom du Fichier" en bas de page, supprime le nom présent (FindyKill.exe) et met ceci => cantofab
  
• Enregistre-le fichier sur le Bureau: pour cela clique sur le bouton Enregistrer.
  
• !! Déconnecte toi et ferme toutes les applications en cours !!
  ( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)
  
• Clique sur "cantofab.exe" pour lancer l'installation de l'outil . Ne touche surtout pas aux paramètres d'installation.
  
• Double-clique sur le raccourci " FindyKill " qui est sur ton bureau .
  
• Choisis l'option 2 (suppression)
  
• Il y aura 2 redémarrage, laisse travailler l outils jusqu'à l'apparition du message "nettoyage effectué"
  
• Un rapport va s'ouvrir, poste le dans ta prochaine réponse stp
  
• Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
  

PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.--

[cantofab]

après avoit rentré les 3 lignes que tu m'as dite, lorsque le PC redémarre je dois enlever le CD d'installation??

 

oui je pense car sinon il reboot à chaque fois sur le CD, c'est ça!!

[Thanos]

pour que le pc ne redémarre pas sur le cd, il suffit de ne pas appuyer sur une touche lorsque c'est demandé ou tu peux retirer le cd, comme tu veux.

 

Edit: si tu parviens à redémarrer le pc correctement mais que tu n'as pas accès à internet, utilise une clé usb pour transférer le fichier findykill renommé (en cantofab.exe) depuis un pc opérationnel.

Modifié le 7 avril 2009 par Thanos

[cantofab]

j'ai fait ce que tu m'as dit, et il est train de faire l'installation de windows. Ca prend un peu de temps.

[Thanos]

l'installation ? il ne redémarre pas normalement ? enlève le cd et dis moi si tu accèdes au bureau stp.

[cantofab]

Ca y est, voici le rapport:

 

 

############################## [ FindyKill V4.722 ]

 

# User : Canto (Administrateurs) # FABIEN-3KQH2O8T

# Update on 04/04/09 by Chiquitine29

# Start at: 13:45:41 | 07/04/2009

# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

 

# AMD Athlon XP 2500+

# Microsoft Windows XP Professionnel (5.1.2600 32-bit) #

# Internet Explorer 6.0.2600.0000

# Windows Firewall Status : Disabled

 

# A:\ # Lecteur de disquettes 3 ½ pouces

# C:\ # Disque fixe local # 29,29 Go (5,44 Go free) # NTFS

# D:\ # Disque fixe local # 9,77 Go (9,68 Go free) [sauvegarde] # NTFS

# E:\ # Disque fixe local # 114,32 Go (2,87 Go free) # NTFS

# F:\ # Disque CD-ROM # 501,06 Mo (0 Mo free) [WXPOEM_FR] # CDFS

# G:\ # Disque CD-ROM

# H:\ # Disque amovible # 31,11 Mo (11,06 Mo free) # FAT

 

############################## [ Active Processes ]

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\WINDOWS\system32\ati2sgag.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ]

 

Deleted ! C:\WINDOWS\Prefetch\331593.EXE-09C1A1E3.pf

Deleted ! C:\WINDOWS\Prefetch\FLEC006.EXE-1653408C.pf

Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf

 

################## [ C:\WINDOWS\System32... ]

 

 

################## [ C:\Users\...\AppData\Roaming ]

 

Deleted ! "C:\Documents and Settings\Canto\Application Data\m\flec006.exe"

Deleted ! "C:\Documents and Settings\Canto\Application Data\m\list.oct"

Deleted ! "C:\Documents and Settings\Canto\Application Data\m\data.oct"

Deleted ! "C:\Documents and Settings\Canto\Application Data\m\srvlist.oct"

Deleted ! "C:\Documents and Settings\Canto\Application Data\drivers\srosa2.sys"

Deleted ! "C:\Documents and Settings\Canto\Application Data\drivers\wfsintwq.sys"

Deleted ! "C:\Documents and Settings\Canto\Application Data\drivers\winupgro.exe"

Deleted ! "C:\Documents and Settings\Canto\Application Data\m\shared"

Deleted ! "C:\Documents and Settings\Canto\Application Data\m"

Deleted ! "C:\Documents and Settings\Canto\Application Data\drivers\downld"

Deleted ! "C:\Documents and Settings\Canto\Application Data\drivers"

 

################## [ Cleaning .. Temp Files... ]

 

Deleted ! C:\DOCUME~1\Canto\LOCALS~1\Temp\setup.exe

Deleted ! C:\DOCUME~1\Canto\LOCALS~1\Temp\{8A0696EB-C0F9-4B36-B0BC-71CC704FA768}\DXSETUP.exe

Deleted ! C:\Documents and Settings\Canto\Local Settings\Temporary Internet Files\Content.IE5\4IJOSVTW\servernames[1].htm

Deleted ! C:\Documents and Settings\Canto\Local Settings\Temporary Internet Files\Content.IE5\M9T7GTD9\b64[1].jpg

Deleted ! C:\Documents and Settings\Canto\Local Settings\Temporary Internet Files\Content.IE5\M9T7GTD9\mxd[1].jpg

 

################## [ Registry / Infected keys ]

 

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S

Deleted ! HKEY_CURRENT_USER\Software\bisoft

Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MsnMsgr

Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\run

Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro

Deleted ! HKEY_USERS\S-1-5-21-220523388-1659004503-682003330-1003\Software\MuleAppData

Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"

Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

 

################## [ Cleaning Removable drives ]

 

# Deleting Files :

 

Not deleted ! "F:\autorun.inf"

 

################## [ Registry / Mountpoint2 ]

 

# -> Not found !

 

################## [ States / Restarting of services ]

 

# Services : [ Auto=2 / Request=3 / Disable=4 ]

 

# Ndisuio -> # Type of startup =3

# SharedAccess -> # Type of startup =2

# wuauserv -> # Type of startup =2

# Safe boot mode restored !

 

################## [ Searching Other Infections ]

 

# Références de comparaison Bagle MD5 :

 

File ... : C:\Documents and Settings\Canto\Application Data\drivers\winupgro.exe

CRC32 .. : dfdc8827

MD5 .... : a0ee969da1bc816195bddf74f58d4008

 

Deleted ! : C:\Program Files\MSN Messenger\msnmsgr.exe

# Taille : 868352 # MD5 : A0EE969DA1BC816195BDDF74F58D4008

 

 

################## [ ! End of Report # FindyKill V4.722 ! ]

 

 

 

Que dois je faire après??

[Thanos]

ok j'analyse ton rapport et te laisse une réponse dans quelques minutes...