Infecte par bagle, quelles solutions ?
Résolu
A voir également:
- Infecte par bagle, quelles solutions ?
- Alerte windows ordinateur infecté - Accueil - Arnaque
- Driver pack solutions - Télécharger - Divers Utilitaires
- Hp support solutions framework c'est quoi - Forum Programmation
- L'ordinateur d'arthur a été infecté par un virus répertorié récemment. ✓ - Forum Antivirus
- L'ordinateur de samantha a ete infecte par un virus - Forum Virus
93 réponses
Reste feelgood1, deux helpers valent mieux qu'un seul :)
Probleme non resolu puisque findykill n'a pas tous supprimé !
Faudrait en parler a chiquitine tu crois feelgood1 ?
Passe combofix mais avant de le passer desactive tes protections comme l'antispyware pas lantivirus, il y est deja !
ferme toutes les application deconnecte toi et lance Combofix mais renomme le avant aussi.
Probleme non resolu puisque findykill n'a pas tous supprimé !
Faudrait en parler a chiquitine tu crois feelgood1 ?
Passe combofix mais avant de le passer desactive tes protections comme l'antispyware pas lantivirus, il y est deja !
ferme toutes les application deconnecte toi et lance Combofix mais renomme le avant aussi.
Fait ceci pour avoir des outils propres :
Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.
http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
Clique sur Recherche et laisse le scan se terminer.
Clique, sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.
http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
Clique sur Recherche et laisse le scan se terminer.
Clique, sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
Seamen tu es gentil mais c'est deja compliqué de s'y retrouver entre toutes ces manips et cette infection qui s'accroche alors evite de poster stp !
Svchost.exe est un processus legitime certe, sauf que certaine infection on font un veritable cauchemar !!!
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié dans C:\. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
Svchost.exe est un processus legitime certe, sauf que certaine infection on font un veritable cauchemar !!!
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié dans C:\. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
au fait, j´ai oublie de dire que j´avais aussi essaye le redemarrage sans echec (qui fonctionne) mais je crois que ca ne change rien
au dernier redemarrage :
Prevention de lexecution des donnees
Pour proteger votre ordinateur, windowz a ferme ce programme
Nom : Generic Host Process for Win32 Services
Editeur : Microsoft corporation
au dernier redemarrage :
Prevention de lexecution des donnees
Pour proteger votre ordinateur, windowz a ferme ce programme
Nom : Generic Host Process for Win32 Services
Editeur : Microsoft corporation
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut, de quel site tu parles ? de celui-ci ? O_o
Encore quelques precisions :
message quand je lance avast : C:\.......\ashAvast.exe n´est pas une application win32 valide
au redemarrage j´ai aussi eu un message de windows qui avait bloque un logiciel dangereux pour le systeme (Host... j´ai pas le nom complet parce que ca s´est ferme trop vite).
j´ai aussi parfois un petit ecran bleu vif avec des notes quand j´allume le pc mais c´est hyper court et j´ai jamais le temps de lire ce que ca dit.
voila merci davance pour les reponses
Encore quelques precisions :
message quand je lance avast : C:\.......\ashAvast.exe n´est pas une application win32 valide
au redemarrage j´ai aussi eu un message de windows qui avait bloque un logiciel dangereux pour le systeme (Host... j´ai pas le nom complet parce que ca s´est ferme trop vite).
j´ai aussi parfois un petit ecran bleu vif avec des notes quand j´allume le pc mais c´est hyper court et j´ai jamais le temps de lire ce que ca dit.
voila merci davance pour les reponses
Bonjour,
* Telecharges Hijackthis ici :
http://www.trendsecure.com/portal/en-US/tools/Security_tools/hijackthis
* Fermes tous les programmes en cours
* Executes le en cliquant sur :
Do a scan and save a log file
* Le rapport s'ouvre sur le bloc-note
-- Enregistres le et postes son contenu
* Telecharges Hijackthis ici :
http://www.trendsecure.com/portal/en-US/tools/Security_tools/hijackthis
* Fermes tous les programmes en cours
* Executes le en cliquant sur :
Do a scan and save a log file
* Le rapport s'ouvre sur le bloc-note
-- Enregistres le et postes son contenu
salut,
dans le dernier rapport de findykille, on dit que des fichiers ont ete supprime dans C\documents and settings\moi\local settings\temp ; je vais voir ce qu il y a et j´ai plein de fichiers .tmp forcement, qq dossiers qui semblent etre des installations ratees pour cause d´arret de lordi qui surchauffait, et des fichiers .bin dans toutes les langues mais illisibles : puis-je supprimer ca ?
de plus quand jai du installer combofix, findykill, j´ai telecharge sur un autre pc, mis sur usb puis colle sur mon bureau, c´est pas grave ? J´ai vu qu´on insistait bcp pour qu´il soit mis direct sur le bureau mais vu que j´ai pas le net sur lautre...
dans le dernier rapport de findykille, on dit que des fichiers ont ete supprime dans C\documents and settings\moi\local settings\temp ; je vais voir ce qu il y a et j´ai plein de fichiers .tmp forcement, qq dossiers qui semblent etre des installations ratees pour cause d´arret de lordi qui surchauffait, et des fichiers .bin dans toutes les langues mais illisibles : puis-je supprimer ca ?
de plus quand jai du installer combofix, findykill, j´ai telecharge sur un autre pc, mis sur usb puis colle sur mon bureau, c´est pas grave ? J´ai vu qu´on insistait bcp pour qu´il soit mis direct sur le bureau mais vu que j´ai pas le net sur lautre...
salut ! merci pour la reponse
j´ai fait ce que tu dis mais quand je lance hijackthis j´ai le meme message que pour avast :
c:\program files\trend micro\hijackthis\hijackthis.exe n´est pas une application win 32 valide
j´ai fait ce que tu dis mais quand je lance hijackthis j´ai le meme message que pour avast :
c:\program files\trend micro\hijackthis\hijackthis.exe n´est pas une application win 32 valide
Re,
* Telecharges Combofix :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
( avant de le telecharger, cliques sur Enregistrer et renomme le en " KillBaglle " ).
* Double-clique sur KillBagle.exe
--> un pop apparait, cliques sur oui
( Il est conseillé d'installer la console de recuperation )
* Choisis la langue et tapes sur la touche 1 ( yes) pour demarrer le scan
/!\ Ne touches ni à ta souris, ni à ton clavier pendant le scan /!\
* En fin de scan, il est possible que Combofix ait besoin de redemarrer le pc
pour finaliser la desinfection, laisses le faire..
* Une fois le scan terminé, postes le rapport généré.
* Telecharges Combofix :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
( avant de le telecharger, cliques sur Enregistrer et renomme le en " KillBaglle " ).
* Double-clique sur KillBagle.exe
--> un pop apparait, cliques sur oui
( Il est conseillé d'installer la console de recuperation )
* Choisis la langue et tapes sur la touche 1 ( yes) pour demarrer le scan
/!\ Ne touches ni à ta souris, ni à ton clavier pendant le scan /!\
* En fin de scan, il est possible que Combofix ait besoin de redemarrer le pc
pour finaliser la desinfection, laisses le faire..
* Une fois le scan terminé, postes le rapport généré.
re
c´est quoi la console de recuperation ?
j´ai donc mis eligable et le combofix qui etait sur mon bureau a la corbeille, enregistre combofix en tant que Killbaglle sur ma cle usb, transfere sur mon pc, colle killbaggle sur mon bureau, lance lapplication.
pop up "etes vous certain de vouloir vfermer visage on ?" (je crois que c le log de la webcam.. je sais pas trop ce que ca vient faire la...) je dis oui.
puis un ecran bleu se lance, un petit moment, un autre pop up qui me donne un message en me disant de noter qq ch que je n´ai pas eu le temps de noter (c´est malin hein...) a propos de logiciels\logitech.
puis l´ordi s´est redemarre mais je ne crois pas que combofix alias killbaglle soit en train de fonctionner.. je le relance ?
c´est quoi la console de recuperation ?
j´ai donc mis eligable et le combofix qui etait sur mon bureau a la corbeille, enregistre combofix en tant que Killbaglle sur ma cle usb, transfere sur mon pc, colle killbaggle sur mon bureau, lance lapplication.
pop up "etes vous certain de vouloir vfermer visage on ?" (je crois que c le log de la webcam.. je sais pas trop ce que ca vient faire la...) je dis oui.
puis un ecran bleu se lance, un petit moment, un autre pop up qui me donne un message en me disant de noter qq ch que je n´ai pas eu le temps de noter (c´est malin hein...) a propos de logiciels\logitech.
puis l´ordi s´est redemarre mais je ne crois pas que combofix alias killbaglle soit en train de fonctionner.. je le relance ?
Re
* C'est quoi la console de recuperation ?
--> ça te permet en cas de plantage du pc, de revenir avant l'utilisation de combofix...
* Il faut fermer toutes les applications en cours
avant l'utilisation de comboFix !
---> soit un peu plus explicite :
Combofix fonctionne ?
y a t-il eu un redemarrage ?
* Regardes si tu as un rapport à C:\Combofix.txt
* C'est quoi la console de recuperation ?
--> ça te permet en cas de plantage du pc, de revenir avant l'utilisation de combofix...
* Il faut fermer toutes les applications en cours
avant l'utilisation de comboFix !
---> soit un peu plus explicite :
Combofix fonctionne ?
y a t-il eu un redemarrage ?
* Regardes si tu as un rapport à C:\Combofix.txt
oui, je croyais bien avoir fermé toutes les applications en cours avec d´utiliser combofix :s ...
il y a bien eu un redemarrage, tout ce qu´il y a de plus normal. mais je crois que combofix n´avait encore rien commencé. (juste un ecran bleu avec un _ clignotant en haut a gauche)
deuxieme tentative, je relance combofix, et la je crois que ca marchait correctement mais l´ordi a surchauffe et s´est eteint brusquement. A l´allumage deux (?) ecrans de vérification du systeme de fichiers sur c: ...
je n´ai pas de rapport de combofix.
(en tout cas j´apprécie beaucoup l´aide apportée ! merci..)
il y a bien eu un redemarrage, tout ce qu´il y a de plus normal. mais je crois que combofix n´avait encore rien commencé. (juste un ecran bleu avec un _ clignotant en haut a gauche)
deuxieme tentative, je relance combofix, et la je crois que ca marchait correctement mais l´ordi a surchauffe et s´est eteint brusquement. A l´allumage deux (?) ecrans de vérification du systeme de fichiers sur c: ...
je n´ai pas de rapport de combofix.
(en tout cas j´apprécie beaucoup l´aide apportée ! merci..)
Re,
* Le rapport est à la racine du disque dur :
C:\combofix.txt
* pourrais tu poster son contenu, stp !
* Le rapport est à la racine du disque dur :
C:\combofix.txt
* pourrais tu poster son contenu, stp !
re !
bon benm combo fix me demande si je veux installer la console de recuperation, je le veux mais je n´ai pas de connexion internet sur le pc a sauver, comment faire ? Y a-t-il un lien direct vers cette console de recuperation pour que je puisse l´installer grace a ma cle usb ?
bon benm combo fix me demande si je veux installer la console de recuperation, je le veux mais je n´ai pas de connexion internet sur le pc a sauver, comment faire ? Y a-t-il un lien direct vers cette console de recuperation pour que je puisse l´installer grace a ma cle usb ?
euh, oui, desolee mais je n´ai pas de rapport combofix, vu que ca ne s´est pas encore lance et terminé. Je voudrais dabord mettre la console de recuperation au cas ou ca tournerait mal.
salut
quand je lance combofix, il s´arrete peu apres suppression des fichiers et j´ai un ecran bleu sur fond noir de windows qui me dit qu´il y a un probleme et qu´il va s´arreter pour prevenir tout dommage.
je precise que je fais ca sans console de restauration (pas trouve...)
et que je n´ai pas de fichier combofix.text
ohlala c´est desesperant tout ca...
quand je lance combofix, il s´arrete peu apres suppression des fichiers et j´ai un ecran bleu sur fond noir de windows qui me dit qu´il y a un probleme et qu´il va s´arreter pour prevenir tout dommage.
je precise que je fais ca sans console de restauration (pas trouve...)
et que je n´ai pas de fichier combofix.text
ohlala c´est desesperant tout ca...
Slt,
Feelgood1 [bah decidemment :)]
Il serait plus judicieux de faire passer findykill et/ou elibagla, ce qui enleverait deja pas mal de merde pour ensuite passer combofix.
Feelgood1 [bah decidemment :)]
Il serait plus judicieux de faire passer findykill et/ou elibagla, ce qui enleverait deja pas mal de merde pour ensuite passer combofix.
Oui mais les a-tils vraiment passer correctement ? rien ne coute de reesayer je pense.
Ntsb investigators flight recorder black box <-- c'est ca le message que tu as eu, il correspond a bagle donc il n'y pas d'autre choix que Combofix/findykill(ou usbfix)/elibagla
De toute facon Bagle ne resiste pas a ces trois fix donc c'est que tu as mal passer les fix, vu qu'il y a des regles a respecter, des demarches bien prescises.
Ntsb investigators flight recorder black box <-- c'est ca le message que tu as eu, il correspond a bagle donc il n'y pas d'autre choix que Combofix/findykill(ou usbfix)/elibagla
De toute facon Bagle ne resiste pas a ces trois fix donc c'est que tu as mal passer les fix, vu qu'il y a des regles a respecter, des demarches bien prescises.
j´ai deja fait tout ca plein de fois :s eligabla, findykill.... la je retente un elibagla...
je vous mets le rapport (avancons :(( ) :
Fri Jan 16 12:28:12 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v12.11b
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\MDELK.EXE.Muestra EliBagle v12.11b
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.11b
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\BARBARA\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\BARBARA\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Fri Jan 16 12:28:18 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\System Volume Information\_restore{FE9DB679-8B9F-4569-9471-BFCEFDF23881}\RP2\A0002026.SYS --> Eliminado Bagle(rootkit)
C:\Qoobox\Quarantine\C\Documents and Settings\barbara\Application Data\drivers\SROSA2.SYS.VIR --> Eliminado Bagle(rootkit)
Nº Total de Directorios: 6887
Nº Total de Ficheros: 76567
Nº de Ficheros Analizados: 14418
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
https://www.118712.fr/sortir.html ce que ca donne apres analyse
je vous mets le rapport (avancons :(( ) :
Fri Jan 16 12:28:12 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v12.11b
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\MDELK.EXE.Muestra EliBagle v12.11b
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.11b
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\BARBARA\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\BARBARA\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Fri Jan 16 12:28:18 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\System Volume Information\_restore{FE9DB679-8B9F-4569-9471-BFCEFDF23881}\RP2\A0002026.SYS --> Eliminado Bagle(rootkit)
C:\Qoobox\Quarantine\C\Documents and Settings\barbara\Application Data\drivers\SROSA2.SYS.VIR --> Eliminado Bagle(rootkit)
Nº Total de Directorios: 6887
Nº Total de Ficheros: 76567
Nº de Ficheros Analizados: 14418
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
https://www.118712.fr/sortir.html ce que ca donne apres analyse
