Infecté par: Win32.Bagle.SUQ@mm
Fermé
nenesse
-
27 déc. 2008 à 13:59
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 - 27 déc. 2008 à 14:18
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 - 27 déc. 2008 à 14:18
A voir également:
- Infecté par: Win32.Bagle.SUQ@mm
- L'ordinateur de samantha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Windows
- Mon ordinateur a été infecté par un virus ou - Forum Virus
- Anti virus - Forum Antivirus
- Infection par : ONLYPC Flow.co.in ✓ - Forum Virus
3 réponses
toptitbal
Messages postés
25709
Date d'inscription
samedi 8 juillet 2006
Statut
Contributeur sécurité
Dernière intervention
4 mars 2010
2 229
27 déc. 2008 à 14:11
27 déc. 2008 à 14:11
Bonjour
Ce n'était pas la peine de tout recopier, le lien aurait suffit ;-)
Tu proposes 5 méthodes, comment veux-tu que l'internaute choisisse ?
Ce n'était pas la peine de tout recopier, le lien aurait suffit ;-)
Tu proposes 5 méthodes, comment veux-tu que l'internaute choisisse ?
Comment supprimer le virus Beagle/Bagle ?
Publié par green day, dernière mise à jour le mercredi 19 novembre 2008 à 12:55:16 par Destrio5
Le malware Bagle est en réalité un ver informatique se propageant essentiellement par les logiciels P2P et via de faux cracks (=logiciels piratés !), ainsi que par mail.
L'internaute croyant télécharger un crack pour un logiciel en faisant une recherche via un logiciel P2P installe lui-même le ver sur son ordinateur car le fichier.exe contenu dans l'archive est en réalité le ver Bagle !
Les noms des logiciels crackés sont très divers et touchent une gamme assez étendue de types de programmes, voici une liste non exhaustive de noms de programmes utilisés par Bagle pour se camoufler !
Ce ver est en général assez coriace à supprimer !
* Symptômes dûs à l'infection
* Méthodes de désinfection
o Réparer l'accès au mode sans échec
o Première Méthode : ELIBAGLA
o Deuxième Méthode : Gmer
o Troisième Méthode : Combofix
o Quatrième Méthode : Malwarebyte's
o Cinquième Méthode : FindyKill
+ FindyKill : Option 1
+ FindyKill : Option 2
o Vérification
* Astuces Pratiques
o Renommer ELIBAGLA
o Ligne de commande astucieuse
Symptômes dûs à l'infection
Lorsqu'il est exécuté, le ver affiche une fenêtre qui demandera de sélectionner un fichier à cracker. En fait, c'est un leurre car bien évidemment, il ne crackera aucun fichier !
Message obtenu après recherche :
Sa première action est d'infecter un fichier sain du démarrage : après une lecture du registre, il supprimera la clé safeboot qui permet le démarrage en mode sans échec. Il neutralise aussi le fonctionnement de l'antivirus et du pare-feu, et empêche leur réinstallation. Vous vous rendrez compte assez vite qu'une grande partie de programmes de sécurité ne pourront pas s'exécuter avec comme message d'erreur : "Application win32 non valide ..."
Attention ! Ne surtout pas chercher à redémarrer en mode sans échec en passant par la commande msconfig sous peine de voir Windows redémarrer indéfiniment en boucle !
Méthodes de désinfection
Plusieurs solutions s'offrent à vous !
Réparer l'accès au mode sans échec
Vous pouvez commencer par réparer l'accès au mode sans échec, en téléchargeant l'utilitaire suivant, ou l'un de ces fichiers *.reg (selon la version de Windows).
Première Méthode : ELIBAGLA
* Téléchargez ELIBAGLA (by SATINFO) en bas de cette page : http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Cliquez sur le bouton Descargar Elibagla pour télécharger le fichier, placez-le sur votre bureau.
* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\ (ou la partition contenant le système d'exploitation)
* Vérifiez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse. A la fin du scan, un rapport est généré, nommé infosat.txt, il est en outre sauvegardé sous la racine : C:\infosat.txt
Exemple d'un rapport contenant des fichiers infectés :
Thu Feb 28 21:49:09 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Feb 28 21:49:48 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 7505
Nº Total de Ficheros: 82386
Nº de Ficheros Analizados: 12450
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 3
* Exploitation du rapport :
o la mention : Eliminado Bagle signifie que la composante du ver a bien été supprimée
o la mention : Bagle Acceso Denegado signifie que l'accès à ce fichier est refusé, il n'a donc pas été supprimé
o la mention : Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) signifie qu'il faut repasser l'outil pour en arriver à bout !
o Elibagla a la capacité de réparer la clé safeboot supprimée par Bagle. Si c'est le cas, la mention suivante apparait dans le rapport : Restaurada Clave: "SafeBoot\Minimal y Network"
Remarque : il est très important de passer plusieurs fois Elibagla en mode normal, ainsi qu'en mode sans échec si possible afin d'essayer de supprimer le plus de fichiers infectés possible !
Dans notre exemple, Elibagla n'est pas arrivé à bout de l'infection du 1er coup, nous allons voir dans la suite comment d'autres outils peuvent venir compléter la suppression du ver Bagle.
Deuxième Méthode : Gmer
Remarque : cette méthode suppose que l'on sait faire des scripts avec gmer !
* Télécharger Gmer (by Przemyslaw Gmerek) : http://www2.gmer.net/gmer.zip
* Décompressez l'archive sur le Bureau et double-cliquez sur gmer.exe
* IMPORTANT: si une alerte de l'antivirus apparait pour le fichier gmer.sys ou gmer.exe, laisse-le s'exécuter !
* Cliquez sur l'onglet rootkit, vérifiez que les cases : Services, Registry et Files sont bien cochées
* Cliquez sur scan , une fois terminé, allez dans :
o Démarrer
o Exécuter et tapez la commande cmd puis validez
o Dans la fenêtre noire qui s'ouvre, recopiez chacune des lignes imprimées préalablement en étant très vigilant (syntaxe, espaces entre les mots...), une par une, en validant chacune des lignes par la touche Entrée.
o Dans ce cas, le script a été élaboré en fonction de rapport d'Elibagla précédent :
gmer -killall
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\SROSA"
gmer -del service SROSA
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS"
gmer -del file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT"
gmer -del file "C:\WINDOWS\system32\MDELK.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE"
gmer -reboot
* Si à la fin de la manip, le PC ne redémarre pas tout seul, faire un reset pour forcer le redémarrage.
Troisième Méthode : Combofix
* Télécharger Combofix (by Subs) sur cette page :
* http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Enregistrez-le sur le bureau
* Déconnectez vous d'internet et fermez toutes tes applications et programmes
* Double-cliquez sur combo-fix.exe
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera créé sous la racine: C:\Combofix.txt
Remarque : Combofix (Combo) se charge de supprimer un certain nombre de fichiers infectés liés à Bagle. Il est impératif de télécharger Combo par le lien donné précédemment (version renommée) ou alors de renommer vous-même Combo (clic droit sur le fichier > Renommer ), car sinon Combo sera totalement inefficace face à Bagle !
Quatrième Méthode : Malwarebyte's
Ce très bon outil a la particularité de détecter la totalité de l'infection Bagle, cependant il n'est efficace qu'à condition d'utiliser Elibagla juste avant pour neutraliser le fichier infecté repéré en 04 (HijackThis) ou si cette 04 a déjà été supprimée auparavant.
* Télécharger MalwareByte's Anti-Malware (by RubbeR DuckY) :
* https://www.commentcamarche.net/telecharger/ 34055379 malwarebyte s anti malware
* Installez le programme sur le bureau :
o S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
* Faites les mises à jour (clic sur Mises à jour puis Recherche de mises à jour)
* Démarrez en mode sans échec
* Lancez le MalwareByte's Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous tes disques durs
* Une fois le scan terminé, cliquez sur supprimer (si un message demande à redémarrer le PC, acceptez !)
* Un rapport sera généré, enregistrez-le de manière à le retrouver
Cinquième Méthode : FindyKill
FindyKill : Option 1
* Téléchargez FindyKill (par Chiquitine29) sur votre Bureau.
* Lancez l'installation avec les paramètres par défaut.
* Double-cliquez sur le raccourci FindyKill situé sur votre Bureau.
* Choisissez F pour Français puis pressez Entrée.
* Au menu principal, choisissez l'option 1 (Recherche).
* Enregistrez le rapport FindyKill.txt sur votre Bureau quand le scan est fini.
Publié par green day, dernière mise à jour le mercredi 19 novembre 2008 à 12:55:16 par Destrio5
Le malware Bagle est en réalité un ver informatique se propageant essentiellement par les logiciels P2P et via de faux cracks (=logiciels piratés !), ainsi que par mail.
L'internaute croyant télécharger un crack pour un logiciel en faisant une recherche via un logiciel P2P installe lui-même le ver sur son ordinateur car le fichier.exe contenu dans l'archive est en réalité le ver Bagle !
Les noms des logiciels crackés sont très divers et touchent une gamme assez étendue de types de programmes, voici une liste non exhaustive de noms de programmes utilisés par Bagle pour se camoufler !
Ce ver est en général assez coriace à supprimer !
* Symptômes dûs à l'infection
* Méthodes de désinfection
o Réparer l'accès au mode sans échec
o Première Méthode : ELIBAGLA
o Deuxième Méthode : Gmer
o Troisième Méthode : Combofix
o Quatrième Méthode : Malwarebyte's
o Cinquième Méthode : FindyKill
+ FindyKill : Option 1
+ FindyKill : Option 2
o Vérification
* Astuces Pratiques
o Renommer ELIBAGLA
o Ligne de commande astucieuse
Symptômes dûs à l'infection
Lorsqu'il est exécuté, le ver affiche une fenêtre qui demandera de sélectionner un fichier à cracker. En fait, c'est un leurre car bien évidemment, il ne crackera aucun fichier !
Message obtenu après recherche :
Sa première action est d'infecter un fichier sain du démarrage : après une lecture du registre, il supprimera la clé safeboot qui permet le démarrage en mode sans échec. Il neutralise aussi le fonctionnement de l'antivirus et du pare-feu, et empêche leur réinstallation. Vous vous rendrez compte assez vite qu'une grande partie de programmes de sécurité ne pourront pas s'exécuter avec comme message d'erreur : "Application win32 non valide ..."
Attention ! Ne surtout pas chercher à redémarrer en mode sans échec en passant par la commande msconfig sous peine de voir Windows redémarrer indéfiniment en boucle !
Méthodes de désinfection
Plusieurs solutions s'offrent à vous !
Réparer l'accès au mode sans échec
Vous pouvez commencer par réparer l'accès au mode sans échec, en téléchargeant l'utilitaire suivant, ou l'un de ces fichiers *.reg (selon la version de Windows).
Première Méthode : ELIBAGLA
* Téléchargez ELIBAGLA (by SATINFO) en bas de cette page : http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Cliquez sur le bouton Descargar Elibagla pour télécharger le fichier, placez-le sur votre bureau.
* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\ (ou la partition contenant le système d'exploitation)
* Vérifiez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse. A la fin du scan, un rapport est généré, nommé infosat.txt, il est en outre sauvegardé sous la racine : C:\infosat.txt
Exemple d'un rapport contenant des fichiers infectés :
Thu Feb 28 21:49:09 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Feb 28 21:49:48 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 7505
Nº Total de Ficheros: 82386
Nº de Ficheros Analizados: 12450
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 3
* Exploitation du rapport :
o la mention : Eliminado Bagle signifie que la composante du ver a bien été supprimée
o la mention : Bagle Acceso Denegado signifie que l'accès à ce fichier est refusé, il n'a donc pas été supprimé
o la mention : Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) signifie qu'il faut repasser l'outil pour en arriver à bout !
o Elibagla a la capacité de réparer la clé safeboot supprimée par Bagle. Si c'est le cas, la mention suivante apparait dans le rapport : Restaurada Clave: "SafeBoot\Minimal y Network"
Remarque : il est très important de passer plusieurs fois Elibagla en mode normal, ainsi qu'en mode sans échec si possible afin d'essayer de supprimer le plus de fichiers infectés possible !
Dans notre exemple, Elibagla n'est pas arrivé à bout de l'infection du 1er coup, nous allons voir dans la suite comment d'autres outils peuvent venir compléter la suppression du ver Bagle.
Deuxième Méthode : Gmer
Remarque : cette méthode suppose que l'on sait faire des scripts avec gmer !
* Télécharger Gmer (by Przemyslaw Gmerek) : http://www2.gmer.net/gmer.zip
* Décompressez l'archive sur le Bureau et double-cliquez sur gmer.exe
* IMPORTANT: si une alerte de l'antivirus apparait pour le fichier gmer.sys ou gmer.exe, laisse-le s'exécuter !
* Cliquez sur l'onglet rootkit, vérifiez que les cases : Services, Registry et Files sont bien cochées
* Cliquez sur scan , une fois terminé, allez dans :
o Démarrer
o Exécuter et tapez la commande cmd puis validez
o Dans la fenêtre noire qui s'ouvre, recopiez chacune des lignes imprimées préalablement en étant très vigilant (syntaxe, espaces entre les mots...), une par une, en validant chacune des lignes par la touche Entrée.
o Dans ce cas, le script a été élaboré en fonction de rapport d'Elibagla précédent :
gmer -killall
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\SROSA"
gmer -del service SROSA
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS"
gmer -del file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT"
gmer -del file "C:\WINDOWS\system32\MDELK.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE"
gmer -reboot
* Si à la fin de la manip, le PC ne redémarre pas tout seul, faire un reset pour forcer le redémarrage.
Troisième Méthode : Combofix
* Télécharger Combofix (by Subs) sur cette page :
* http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Enregistrez-le sur le bureau
* Déconnectez vous d'internet et fermez toutes tes applications et programmes
* Double-cliquez sur combo-fix.exe
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera créé sous la racine: C:\Combofix.txt
Remarque : Combofix (Combo) se charge de supprimer un certain nombre de fichiers infectés liés à Bagle. Il est impératif de télécharger Combo par le lien donné précédemment (version renommée) ou alors de renommer vous-même Combo (clic droit sur le fichier > Renommer ), car sinon Combo sera totalement inefficace face à Bagle !
Quatrième Méthode : Malwarebyte's
Ce très bon outil a la particularité de détecter la totalité de l'infection Bagle, cependant il n'est efficace qu'à condition d'utiliser Elibagla juste avant pour neutraliser le fichier infecté repéré en 04 (HijackThis) ou si cette 04 a déjà été supprimée auparavant.
* Télécharger MalwareByte's Anti-Malware (by RubbeR DuckY) :
* https://www.commentcamarche.net/telecharger/ 34055379 malwarebyte s anti malware
* Installez le programme sur le bureau :
o S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
* Faites les mises à jour (clic sur Mises à jour puis Recherche de mises à jour)
* Démarrez en mode sans échec
* Lancez le MalwareByte's Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous tes disques durs
* Une fois le scan terminé, cliquez sur supprimer (si un message demande à redémarrer le PC, acceptez !)
* Un rapport sera généré, enregistrez-le de manière à le retrouver
Cinquième Méthode : FindyKill
FindyKill : Option 1
* Téléchargez FindyKill (par Chiquitine29) sur votre Bureau.
* Lancez l'installation avec les paramètres par défaut.
* Double-cliquez sur le raccourci FindyKill situé sur votre Bureau.
* Choisissez F pour Français puis pressez Entrée.
* Au menu principal, choisissez l'option 1 (Recherche).
* Enregistrez le rapport FindyKill.txt sur votre Bureau quand le scan est fini.
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
27 déc. 2008 à 14:12
27 déc. 2008 à 14:12
Bonjour
Pour faire plus court afin d'eviter surtout ComboFix
Telecharge FindyKill sur ton bureau :
https://www.malekal.com/tutorial-findykill/
--> Lance l installation avec les paramètres par défaut
--> Branche tes sources de données externes à ton PC,
(clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci FindyKill sur ton bureau
--> Au menu principal,choisi l option 1 (Recherche)
--> Post le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
+++++++++++
Pour faire plus court afin d'eviter surtout ComboFix
Telecharge FindyKill sur ton bureau :
https://www.malekal.com/tutorial-findykill/
--> Lance l installation avec les paramètres par défaut
--> Branche tes sources de données externes à ton PC,
(clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci FindyKill sur ton bureau
--> Au menu principal,choisi l option 1 (Recherche)
--> Post le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
+++++++++++
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
>
gadjet
27 déc. 2008 à 14:18
27 déc. 2008 à 14:18
lol
