Bagle avec mode sans échec inaccessible
IanPasGlop
Messages postés
1
Statut
Membre
-
PLoUf -
PLoUf -
Bonjour,
Je suis sous Windows 2000.
J'ai récupéré Bagle par un logiciel de P2P.
Le fichier zip contenait quatre fichiers :
baseline.bat - 34 Ko - 04/03/2005
core.dll - 77 Ko - 24/02/2006
cracked.nfo - 39 Ko - 12/02/2004
serial.exe - 824 Ko - 17/02/2004
Avast ne l'ayant pas identifié comme un virus, j'ai exécuté le serial.exe. (Et même deux fois parce qu'il semblait ne pas bien marcher !)
Avast a fini par signaler qu’un programme cherchait à fermer je ne sais quoi et qu’il ne fallait pas le faire sauf si j’étais sûr de moi. J’ai dû avoir le temps de donner l’ordre à Avast de faire le nécessaire lorsque Windows a rebooté de lui-même subitement (« Windows est en cours de fermeture...»).
Après le reboot, l’écran de démarrage de Windows est apparu suivi, très rapidement après, d’un écran bleu sur lequel on pouvait lire :
---------------
*** STOP: 0x000000CE (0xB7908E74, 0x00000000, 0xB7908E74, 0x00000000)
DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS
Ce pilote doit être défaillant : wfsintwq.sys
*** Address 0xB7908E74 base at 0xB7908E74, DateStamp 00000000 - wfsintwq.sys
*** Address 0xB7908E74 base at 0xB7908E74, DateStamp 00000000 - wfsintwq.sys
Si ceci est la première fois que vous voyez cet écran d’erreur d’arrêt de l’installation, redémarrez votre ordinateur. Si cet écran réapparaît, suivez ces étapes :
Vérifier que tout nouveau matériel ou logiciel est installé correctement. S’il s’agit d’une nouvelle installation, demandez à votre fournisseur de matériel ou de logiciels de pour toute mise à jour de Windows 2000 pouvant être nécessaire.
Si les problèmes persistent, désactivez ou supprimez tout matériel ou logiciel installé récemment. Désactivez les options BIOS de mémoire telles que la mise en cache ou en ombrage.
Si vous êtes obligé d’utiliser le Mode sans échec pour supprimer ou désactiver des composants, redémarrez votre ordinateur, appuyez sur F8 pour sélectionner les options de démarrage avancées, puis sélectionnez le Mode sans échec.
Référez-vous au manuel Mise en route pour plus d’informations sur la résolution des problèmes d’erreurs d’arrêt.
---------------
Après avoir essayé plusieurs fois de démarrer en mode normal, j’ai essayé le mode sans échec. Dans les deux cas, je tombais sur un écran bleu du même genre.
Impossible, dans ces conditions, de lancer les antivirus.
J'ai alors tenté une réparation de Windows à partir du CD d'installation.
Or, même après ça, Windows refuse de redémarrer, que ce soit en mode normal ou sans échec !!!
J'ai toujours droit au même écran bleu (cf. ci-dessus).
Y a-t-il une dernière solution ou bien est-ce qu'il ne me reste plus que le suicide ?!
Merci.
--I.
Je suis sous Windows 2000.
J'ai récupéré Bagle par un logiciel de P2P.
Le fichier zip contenait quatre fichiers :
baseline.bat - 34 Ko - 04/03/2005
core.dll - 77 Ko - 24/02/2006
cracked.nfo - 39 Ko - 12/02/2004
serial.exe - 824 Ko - 17/02/2004
Avast ne l'ayant pas identifié comme un virus, j'ai exécuté le serial.exe. (Et même deux fois parce qu'il semblait ne pas bien marcher !)
Avast a fini par signaler qu’un programme cherchait à fermer je ne sais quoi et qu’il ne fallait pas le faire sauf si j’étais sûr de moi. J’ai dû avoir le temps de donner l’ordre à Avast de faire le nécessaire lorsque Windows a rebooté de lui-même subitement (« Windows est en cours de fermeture...»).
Après le reboot, l’écran de démarrage de Windows est apparu suivi, très rapidement après, d’un écran bleu sur lequel on pouvait lire :
---------------
*** STOP: 0x000000CE (0xB7908E74, 0x00000000, 0xB7908E74, 0x00000000)
DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS
Ce pilote doit être défaillant : wfsintwq.sys
*** Address 0xB7908E74 base at 0xB7908E74, DateStamp 00000000 - wfsintwq.sys
*** Address 0xB7908E74 base at 0xB7908E74, DateStamp 00000000 - wfsintwq.sys
Si ceci est la première fois que vous voyez cet écran d’erreur d’arrêt de l’installation, redémarrez votre ordinateur. Si cet écran réapparaît, suivez ces étapes :
Vérifier que tout nouveau matériel ou logiciel est installé correctement. S’il s’agit d’une nouvelle installation, demandez à votre fournisseur de matériel ou de logiciels de pour toute mise à jour de Windows 2000 pouvant être nécessaire.
Si les problèmes persistent, désactivez ou supprimez tout matériel ou logiciel installé récemment. Désactivez les options BIOS de mémoire telles que la mise en cache ou en ombrage.
Si vous êtes obligé d’utiliser le Mode sans échec pour supprimer ou désactiver des composants, redémarrez votre ordinateur, appuyez sur F8 pour sélectionner les options de démarrage avancées, puis sélectionnez le Mode sans échec.
Référez-vous au manuel Mise en route pour plus d’informations sur la résolution des problèmes d’erreurs d’arrêt.
---------------
Après avoir essayé plusieurs fois de démarrer en mode normal, j’ai essayé le mode sans échec. Dans les deux cas, je tombais sur un écran bleu du même genre.
Impossible, dans ces conditions, de lancer les antivirus.
J'ai alors tenté une réparation de Windows à partir du CD d'installation.
Or, même après ça, Windows refuse de redémarrer, que ce soit en mode normal ou sans échec !!!
J'ai toujours droit au même écran bleu (cf. ci-dessus).
Y a-t-il une dernière solution ou bien est-ce qu'il ne me reste plus que le suicide ?!
Merci.
--I.
A voir également:
- Bagle avec mode sans échec inaccessible
- Mode sans echec ps4 - Guide
- Mode sans echec - Guide
- Mode avion - Guide
- Mode sécurisé samsung - Guide
- Mode d'emploi - Guide
3 réponses
Bonsoir,
quand on joue avec le feu, on fini toujours par se brûler... Fallais pas télécharger un logiciel cracké.
le danger des cracks
bagle/beagle
quand on joue avec le feu, on fini toujours par se brûler... Fallais pas télécharger un logiciel cracké.
le danger des cracks
bagle/beagle
Comment j'ai terrassé Bagle (sous Windows 2000) au terme d'une lutte épique
Voici la version abrégée du récit (sans toutes les tentatives infructueuses).
Acte I. Comment j’ai attrapé Bagle
J'ai récupéré ce que je croyais être un logiciel dans un fichier zip contenant quatre fichiers :
- baseline.bat (34 Ko, modifié le 04/03/2005)
- core.dll (77 Ko, modifié le 24/02/2006)
- cracked.nfo (39 Ko, modifié le 12/02/2004)
- serial.exe (824 Ko, modifié le 17/02/2004)
Pour être sûr qu’il ne s’agissait pas d’un virus, j’ai lancé une analyse avec l’antivirus Avast sur le répertoire contenant ces fichiers. Aucun message d’erreur n’est apparu.
Confiant, j’ai donc exécuté cracked.nfo ce qui n’a rien donné de concluant. J’ai ensuite déplacé serial.exe sous Program files où je l’ai exécuté. Je ne sais plus trop quels messages j’ai obtenu mais comme rien de ce que j’attendais ne se produisait, je l’ai lancé une seconde fois.
Avast a alors indiqué qu’un programme cherchait à fermer je ne sais quoi et qu’il ne fallait pas le faire sauf si j’étais sûr de moi. J’ai dû avoir le temps de donner l’ordre à Avast de faire le nécessaire lorsque Windows a rebooté de lui-même subitement (« Windows est en cours de fermeture...»).
Acte II. Les symptômes
Après le reboot, l’écran de démarrage de Windows est apparu suivi, très rapidement après, d’un écran bleu sur lequel on pouvait lire :
--------------------
*** STOP: 0x000000CE (0xB7908E74, 0x00000000, 0xB7908E74, 0x00000000)
DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS
Ce pilote doit être défaillant : wfsintwq.sys
*** Address 0xB7908E74 base at 0xB7908E74, DateStamp 00000000 - wfsintwq.sys
*** Address 0xB7908E74 base at 0xB7908E74, DateStamp 00000000 - wfsintwq.sys
Si ceci est la première fois que vous voyez cet écran d’erreur d’arrêt de l’installation, redémarrez votre ordinateur. Si cet écran réapparaît, suivez ces étapes :
Vérifier que tout nouveau matériel ou logiciel est installé correctement. S’il s’agit d’une nouvelle installation, demandez à votre fournisseur de matériel ou de logiciels pour toute mise à jour de Windows 2000 pouvant être nécessaire.
Si les problèmes persistent, désactivez ou supprimez tout matériel ou logiciel installé récemment. Désactivez les options BIOS de mémoire telles que la mise en cache ou en ombrage.
Si vous êtes obligé d’utiliser le Mode sans échec pour supprimer ou désactiver des composants, redémarrez votre ordinateur, appuyez sur F8 pour sélectionner les options de démarrage avancées, puis sélectionnez le Mode sans échec.
Référez-vous au manuel Mise en route pour plus d’informations sur la résolution des problèmes d’erreurs d’arrêt.
--------------------
Après avoir essayé plusieurs fois de démarrer en mode normal, j’ai essayé le mode sans échec. Je tombais alors sur l’écran bleu suivant :
--------------------
*** STOP: 0x0000007B (0xEB81F84C, 0xC0000034, 0x00000000, 0x00000000)
INACCESSIBLE_BOOT_DEVICE
Si ceci est la première fois que vous voyez cet écran d’erreur d’arrêt de l’installation, redémarrez votre ordinateur. Si cet écran réapparaît, suivez ces étapes :
Recherchez tout virus sur votre ordinateur. Supprimez tout disque dur ou contrôleur de disque dur nouvellement installé. Vérifiez votre disque dur pour vous assurer qu’il est correctement configuré et terminé.
Exécutez CHKDSK /F pour trouver tout dommage sur votre disque dur puis redémarrez votre ordinateur.
Référez-vous au manuel Mise en route pour plus d’informations sur la résolution des problèmes d’erreurs d’arrêt.
--------------------
Acte III. Echec de la tentative de réparation avec le CDROM de Windows 2000
Selon le site microsoft.com : « Vous pouvez utiliser la fonction de réparation d'urgence de Windows 2000 pour remédier à des problèmes susceptibles d'empêcher l'ordinateur de démarrer. Il s'agit notamment des problèmes liés au Registre, aux fichiers système, au secteur d'amorçage de partition et à l'environnement de démarrage. »
Or ma tentative de réparation du système à partir du CDROM de Windows 2000 échoue ! Les écrans bleus sont toujours là...
Acte IV. À la recherche d’informations...
1) Je vais sur un autre ordinateur pour taper sur Google « wfsintwq.sys » (nom du fichier indiqué dans l’écran bleu), ce qui me donne 1370 résultats. Je tombe notamment sur un article du site commentcamarche.net intitulé « Comment supprimer le virus Beagle/Bagle ? » Extrait :
« Le malware Bagle est en réalité un ver informatique se propageant essentiellement par les logiciels P2P et via de faux cracks (= logiciels piratés !), ainsi que par mail. [...] Ce ver est en général assez coriace à supprimer ! [...] Sa première action est d’infecter un fichier sain du démarrage : après une lecture du registre, il supprimera la clé safeboot qui permet le démarrage en mode sans échec. Il neutralise aussi le fonctionnement de l’antivirus et du pare-feu, et empêche leur réinstallation. [...] Les fichiers de l’infection Bagle sont : wintems.exe, hldrrr.exe, srosa.sys, srosa2.sys, winfilese.exe, flec006.exe, mdelk.exe, winupgro.exe, wsintwq.sys... » (Source : http://www.commentcamarche.net/faq/sujet 9889 comment supprimer le virus beagle bagle)
Cet article indique par ailleurs quatre logiciels à utiliser afin de se débarrasser du virus : Elibagla, FindyKill, Combofix et Malwarebytes. Sauf que, ne pouvant même pas démarrer Windows en mode sans échec, je ne vois pas comment je pourrais exécuter ces programmes...
2) Je branche le disque dur infecté sur un ordinateur sous Windows XP en tant que disque dur esclave afin d’y passer les différents détecteurs de virus pour simple diagnostic.
Malwarebyte’s et EliBagla ne disent pas grand-chose. Symantec, lui, est plus prolixe. En lançant une détection de virus depuis security.symantec.com (programme en ligne), il conclut, au bout de quelques heures : « 270064 files scanned, 10 file(s) infected on your disk drives. » Il en donne la liste (sans proposer de régler les problèmes). Dans cette liste, on trouve notamment :
- E:\Documents and Settings\Administrateur\Application Data\drivers\srosa2.sys is infected with Trojan Horse
- E:\Documents and Settings\Administrateur\Application Data\drivers\wfsintwq.sys is infected with Hacktool.Rootkit
- E:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe is infected with Trojan Horse
Il apparaît donc que trois des fichiers infectés se trouvent dans un répertoire « drivers » quelque part sous « Documents and Settings ». Je vais y voir de plus près et constate que ce répertoire contient (liste exhaustive) :
- downld (répertoire, modifié le 19/04/2009 11:48)
- srosa2.sys (7 Ko, modifié le 19/04/2009 11:48)
- wfsintwq.sys (123 Ko, modifié le 19/04/2009 11:48)
- winupgro.exe (824 Ko, modifié le 17/02/2004 09:07)
Et, dans le répertoire « downld », je trouve :
- 9027015.exe (1 Ko, modifié le 19/04/2009 11:48)
- 9027656.exe (1 Ko, modifié le 19/04/2009 11:48)
- 9027968.exe (1 Ko, modifié le 19/04/2009 11:48)
- 9043968.exe (2 Ko, modifié le 19/04/2009 11:48)
- 9046468.exe (2 Ko, modifié le 19/04/2009 11:48)
- 9047156.exe (1 Ko, modifié le 19/04/2009 11:48)
- 9056000.exe (50 Ko, modifié le 19/04/2009 11:48)
- 9058718.exe (50 Ko , modifié le 19/04/2009 11:48)
- 9060437.exe (50 Ko Application 19/04/2009 11:48)
Ayant un Windows 2000 installé sur un autre disque dur, je découvre qu’il n’existe normalement pas de répertoire « drivers » sous « C:\Documents and Settings\Administrateur\Application Data\ ». Ce qui semble vouloir dire que 1) le virus a créé ce répertoire pour y faire son nid, 2) il a dû modifier la base de registre afin de demander à Windows de lancer certains de ces fichiers au démarrage...
Cette hypothèse semble se confirmer puisque les fichiers de la base de registre (qui se trouvent pour la plupart sous WINNT\system32\config) ont été modifiés le jour même (et l’heure même) de l’activation du virus :
- Antivirus.Evt (1 216 Ko, 19/04/2009 11:49)
- AppEvent.Evt (512 Ko, 19/04/2009 11:49)
- default (172 Ko, 19/04/2009 11:49)
- SAM (24 Ko, 19/04/2009 11:49)
- SECURITY (32 Ko, 19/04/2009 11:49)
- SysEvent.Evt (512 Ko, 19/04/2009 11:49)
- system (4 404 Ko, 19/04/2009 11:49)
- SYSTEM.ALT (4 404 Ko, 19/04/2009 11:49)
Reste donc à éditer les fichiers de la base de registre du disque dur esclave.
L'utilisation du logiciel « Alien Registry Viewer » me permet de constater que deux entrées (au moins) ont été ajoutées par le virus :
- HKEY_USERS\Software\Local AppWizard-Generated Applications\winupgro
- HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa
Dans cette seconde clé, une des valeurs contient « wfsintwq.sys » (nom du fichier apparaissant dans le message de l’écran bleu). J’avais donc raison : le virus a modifié la base de registre afin de lui demander de démarrer wfsintwq.sys.
Acte V. Le dévirusage
Rappel (pour ceux qui auraient eu la flemme de lire ce qui précède) : Je travaille sur mon disque dur système installé en esclave sur un autre système puisque Windows ne démarre plus (ni en mode normal ni en mode sans échec).
1) Suppression du répertoire « drivers » contenant les virus.
Je supprime le répertoire Documents and Settings\Administrateur\Application Data\drivers\ dont on a vu qu’il contenait notamment les fichiers du virus srosa2.sys, wfsintwq.sys et winupgro.exe.
Je vais ensuite déviruser la base de registre (en suivant des conseils trouvés ici : http://www.aidewindows.net/bdr1.php#importer_ruche).
2) Base de registre - Suppression de la clé « srosa ».
a) J’édite la branche « system » de la base de registre grâce à Regedit :
-Je lance Regedit.
-Je clique sur HKEY_LOCAL_MACHINE.
-Je vais dans le menu Fichier/Charger la ruche...
-J’indique le fichier E:\WINNT\system32\config\system.
Une boîte de dialogue s’ouvre me demandant « Nom de la clé ».
-J’indique « TempDevirusage01 » (clé temporaire de dévirusage n°1).
Sous HKEY_LOCAL_MACHINE, j’ai alors une branche « TempDevirusage01 ».
b) Je supprime la clé HKEY_LOCAL_MACHINE\TempDevirusage01\ControlSet001\Services\srosa
(C’est la clé qui demande le lancement du fichier wsintwq.sys.)
c) Je « décharge la ruche » :
-Je clique sur HKEY_LOCAL_MACHINE\TempDevirusage01.
-Je vais dans le menu Fichier/Décharger la ruche...
Un message apparaît : « Voulez-vous décharger la clé actuelle et toutes ces sous-clés ? »
-Je réponds « Oui ».
(Je vérifie que le fichier E:\WINNT\system32\config\system a bien pour « date de modification » la date et l’heure actuelle.)
3) Base de registre - Suppression de la clé « winupgro ».
a) J’édite le fichier « NTUSER.DAT » de la base de registre grâce à Regedit :
-Je lance Regedit.
-Je clique sur HKEY_USERS.
-Je vais dans le menu Fichier/Charger la ruche...
-J’indique le fichier E:\Documents and Settings\Administrateur\NTUSER.DAT.
Une boîte de dialogue s’ouvre me demandant « Nom de la clé ».
-J’indique « TempDevirusage02 » .
Sous HKEY_USERS, j’ai alors une branche « TempDevirusage02 ».
b) Je supprime la clé HKEY_USERS\TempDevirusage02\Software\Local AppWizard-Generated Applications \ winupgro
c) Je « décharge la ruche » :
-Je clique sur HKEY_USERS\TempDevirusage02.
-Je vais dans le menu Fichier/Décharger la ruche...
Un message apparaît : « Voulez-vous décharger la clé actuelle et toutes ces sous-clés ? »
-Je réponds « Oui ».
(Je vérifie que le fichier E:\Documents and Settings\Administrateur\NTUSER.DAT a bien pour « date de modification » la date et l’heure actuelle.)
4) Base de registre - Ajout de la clé « safeboot » (pour permettre le démarrage en mode sans échec).
a) Je télécharge un fichier (safeboot_w2k.reg) permettant de réparer le mode sans échec d’un ordinateur sous Windows 2000 service pack 4 : http://www.assistepc.com/forum/reparer-le-mode-sans-echec-de-windows-vt867.html.
C’est un fichier qui travaille exclusivement sur la clé « CurrentControlSet »:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot.
b) J’édite le fichier « NTUSER.DAT » de la base de registre grâce à Regedit :
-Je lance Regedit.
-Je clique sur HKEY_LOCAL_MACHINE.
-Je vais dans le menu Fichier/Charger la ruche...
-J’indique le fichier E:\Documents and Settings\Administrateur\NTUSER.DAT.
Une boîte de dialogue s’ouvre me demandant « Nom de la clé ».
-J’indique « TempDevirusage03 ».
Sous HKEY_LOCAL_MACHINE, j’ai alors une branche « TempDevirusage03 ».
c) Je constate qu’il n’existe pas de clé HKEY_LOCAL_MACHINE\TempDevirusage03\SYSTEM\CurrentControlSet\Control\SafeBoot
d) Je modifie le fichier .reg en remplaçant HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot par HKEY_LOCAL_MACHINE\TempDevirusage03\SYSTEM\CurrentControlSet\Control\SafeBoot
e) Je double clique sur ce fichier et je réponds que j’accepte la fusion avec la base de registre.
Dans la base de registre, la clé SafeBoot apparaît bien à l’endroit souhaité.
f) Je « décharge la ruche » :
-Je clique sur HKEY_LOCAL_MACHINE\TempDevirusage03.
-Je vais dans le menu Fichier/Décharger la ruche...
Un message apparaît : « Voulez-vous décharger la clé actuelle et toutes ces sous-clés ? »
-Je réponds « Oui ».
(Je vérifie que le fichier E:\Documents and Settings\Administrateur\NTUSER.DAT a bien pour « date de modification » la date et l’heure actuelle.)
5) Démarrage de Windows.
Après ces modifications, je boote sur le disque dur. Ça marche : l’ordinateur démarre en mode normal.
6) Exécution des antivirus.
a) Je lance le logiciel EliBagla (15 mn). Il m’indique un fichier infecté et éliminé : « SROSA2.SYS -> Bagle(rootkit) ».
b) Je lance Malwarebytes’ Anti-Malware (examen complet d'1h25) qui trouve 11 éléments infectés (5 clés du registre, 1 valeur du registre et 5 fichiers). Je les supprime.
c) Je lance Combofix (20 mn) qui semble ne rien trouver.
d) J’utilise security.symantec.com (détecteur de virus en ligne) dans l’espoir qu’il me confirme que je n’ai plus rien. J'effectue un « Symantec Security Check / Virus Detection ». Au bout d'une heure, il a terminé :
« 93134 files scanned, 4 file(s) infected on your disk drives. No viruses were detected in memory. Your computer is infected with at least one known virus or Trojan horse. » Mais visiblement rien qui ne soit dû à Bagle.
7) Réinstallation d’Avast.
Comme indiqué dans l'article de commentcamarche.net, Bagle « neutralise aussi le fonctionnement de l’antivirus et du pare-feu, et empêche leur réinstallation ». Et, en effet, malgré le dévirusage, mon antivirus (Avast) n’accepte toujours pas de redémarrer : l’icône qui apparaît en bas à droite de l’écran indique qu’il est inactif. Même en demandant de « Démarrer la protection résidente », rien ne se passe. Je décide donc de le désinstaller puis de le réinstaller. Après l’installation (suivie d’un redémarrage), Avast scanne le disque dur. Durée : 1 heure. Aucun fichier infecté n'est trouvé et Avast se remet à fonctionner normalement.
8) Réparation de Outlook Express, de Windows Update et de Word.
Malheureusement, Bagle a causé quelques dégâts... Si Internet Explorer marche bien, Outlook Express ne veut pas démarrer. J’obtiens tout de suite le message : « Outlook Express n’a pas pu démarrer car le fichier MSOE.DLL n’a pas pu être chargé. »
De la même manière, Windows Update a des problèmes. Après l’avoir lancé puis avoir demandé une mise à jour (« rapide » ou « personnalisée »), j’obtiens le message : « Les fichiers nécessaires à l’utilisation de Windows Update ne sont plus inscrits dans le Registre ou installés sur votre ordinateur. » Il propose alors d’« inscrire ou réinstaller les fichiers », ce que je lui demande de faire. Mais cela ne marche pas : « Le site Web a rencontré une erreur et ne peut pas afficher la page demandée. » Le numéro de l’erreur (inscrit en haut à droite) est : « 0x8007041D ».
Par ailleurs, mon Word 2003 démarre en affichant le message : « Ce document contient des macros. La prise en charge du langage Macro a été désactivée pour cette application. Les composants nécessitant VBA ne sont pas disponibles. Souhaitez-vous ouvrir ce document en lecture seule ? » Je clique sur « Annuler ». Word se lance quand même puis explique : « La fonction que vous essayez d’exécuter contient des macros ou un contenu qui exige la prise en charge du langage macro. Lorsque le logiciel a été installé, vous (ou votre administrateur) avez choisi de ne pas installer cette prise en charge. » Et plus tard : « Impossible d’ouvrir (Normal.dot) ».
La seule solution que j’ai trouvée pour régler ces trois problèmes est de faire une « mise à niveau de Windows 2000 » :
- J’insère le CDROM de Windows 2000 puis je clique sur Setup.exe.
- Je demande « Installer Windows 2000 » puis « Effectuer une mise à niveau vers Windows 2000 ».
- Après un redémarrage voulu par le système, l’ordinateur poursuit la « mise à niveau de Windows 2000 Professionnel » (en passant par l’étape de la détection et l’installation des périphériques).
Après ça, Outlook Express accepte de démarrer, Windows Update se met à fonctionner correctement (...même s’il me faut réinstaller toutes les mises à jour) et Word 2003 marche comme avant.
Tout est finalement rentré dans l’ordre. Après plusieurs jours de lutte acharnée et beaucoup de patience, Bagle a été vaincu et j'ai retrouvé mon système et tous mes logiciels (tels que je les avais configurés) sans avoir eu besoin de tout réinstaller.
Voici la version abrégée du récit (sans toutes les tentatives infructueuses).
Acte I. Comment j’ai attrapé Bagle
J'ai récupéré ce que je croyais être un logiciel dans un fichier zip contenant quatre fichiers :
- baseline.bat (34 Ko, modifié le 04/03/2005)
- core.dll (77 Ko, modifié le 24/02/2006)
- cracked.nfo (39 Ko, modifié le 12/02/2004)
- serial.exe (824 Ko, modifié le 17/02/2004)
Pour être sûr qu’il ne s’agissait pas d’un virus, j’ai lancé une analyse avec l’antivirus Avast sur le répertoire contenant ces fichiers. Aucun message d’erreur n’est apparu.
Confiant, j’ai donc exécuté cracked.nfo ce qui n’a rien donné de concluant. J’ai ensuite déplacé serial.exe sous Program files où je l’ai exécuté. Je ne sais plus trop quels messages j’ai obtenu mais comme rien de ce que j’attendais ne se produisait, je l’ai lancé une seconde fois.
Avast a alors indiqué qu’un programme cherchait à fermer je ne sais quoi et qu’il ne fallait pas le faire sauf si j’étais sûr de moi. J’ai dû avoir le temps de donner l’ordre à Avast de faire le nécessaire lorsque Windows a rebooté de lui-même subitement (« Windows est en cours de fermeture...»).
Acte II. Les symptômes
Après le reboot, l’écran de démarrage de Windows est apparu suivi, très rapidement après, d’un écran bleu sur lequel on pouvait lire :
--------------------
*** STOP: 0x000000CE (0xB7908E74, 0x00000000, 0xB7908E74, 0x00000000)
DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS
Ce pilote doit être défaillant : wfsintwq.sys
*** Address 0xB7908E74 base at 0xB7908E74, DateStamp 00000000 - wfsintwq.sys
*** Address 0xB7908E74 base at 0xB7908E74, DateStamp 00000000 - wfsintwq.sys
Si ceci est la première fois que vous voyez cet écran d’erreur d’arrêt de l’installation, redémarrez votre ordinateur. Si cet écran réapparaît, suivez ces étapes :
Vérifier que tout nouveau matériel ou logiciel est installé correctement. S’il s’agit d’une nouvelle installation, demandez à votre fournisseur de matériel ou de logiciels pour toute mise à jour de Windows 2000 pouvant être nécessaire.
Si les problèmes persistent, désactivez ou supprimez tout matériel ou logiciel installé récemment. Désactivez les options BIOS de mémoire telles que la mise en cache ou en ombrage.
Si vous êtes obligé d’utiliser le Mode sans échec pour supprimer ou désactiver des composants, redémarrez votre ordinateur, appuyez sur F8 pour sélectionner les options de démarrage avancées, puis sélectionnez le Mode sans échec.
Référez-vous au manuel Mise en route pour plus d’informations sur la résolution des problèmes d’erreurs d’arrêt.
--------------------
Après avoir essayé plusieurs fois de démarrer en mode normal, j’ai essayé le mode sans échec. Je tombais alors sur l’écran bleu suivant :
--------------------
*** STOP: 0x0000007B (0xEB81F84C, 0xC0000034, 0x00000000, 0x00000000)
INACCESSIBLE_BOOT_DEVICE
Si ceci est la première fois que vous voyez cet écran d’erreur d’arrêt de l’installation, redémarrez votre ordinateur. Si cet écran réapparaît, suivez ces étapes :
Recherchez tout virus sur votre ordinateur. Supprimez tout disque dur ou contrôleur de disque dur nouvellement installé. Vérifiez votre disque dur pour vous assurer qu’il est correctement configuré et terminé.
Exécutez CHKDSK /F pour trouver tout dommage sur votre disque dur puis redémarrez votre ordinateur.
Référez-vous au manuel Mise en route pour plus d’informations sur la résolution des problèmes d’erreurs d’arrêt.
--------------------
Acte III. Echec de la tentative de réparation avec le CDROM de Windows 2000
Selon le site microsoft.com : « Vous pouvez utiliser la fonction de réparation d'urgence de Windows 2000 pour remédier à des problèmes susceptibles d'empêcher l'ordinateur de démarrer. Il s'agit notamment des problèmes liés au Registre, aux fichiers système, au secteur d'amorçage de partition et à l'environnement de démarrage. »
Or ma tentative de réparation du système à partir du CDROM de Windows 2000 échoue ! Les écrans bleus sont toujours là...
Acte IV. À la recherche d’informations...
1) Je vais sur un autre ordinateur pour taper sur Google « wfsintwq.sys » (nom du fichier indiqué dans l’écran bleu), ce qui me donne 1370 résultats. Je tombe notamment sur un article du site commentcamarche.net intitulé « Comment supprimer le virus Beagle/Bagle ? » Extrait :
« Le malware Bagle est en réalité un ver informatique se propageant essentiellement par les logiciels P2P et via de faux cracks (= logiciels piratés !), ainsi que par mail. [...] Ce ver est en général assez coriace à supprimer ! [...] Sa première action est d’infecter un fichier sain du démarrage : après une lecture du registre, il supprimera la clé safeboot qui permet le démarrage en mode sans échec. Il neutralise aussi le fonctionnement de l’antivirus et du pare-feu, et empêche leur réinstallation. [...] Les fichiers de l’infection Bagle sont : wintems.exe, hldrrr.exe, srosa.sys, srosa2.sys, winfilese.exe, flec006.exe, mdelk.exe, winupgro.exe, wsintwq.sys... » (Source : http://www.commentcamarche.net/faq/sujet 9889 comment supprimer le virus beagle bagle)
Cet article indique par ailleurs quatre logiciels à utiliser afin de se débarrasser du virus : Elibagla, FindyKill, Combofix et Malwarebytes. Sauf que, ne pouvant même pas démarrer Windows en mode sans échec, je ne vois pas comment je pourrais exécuter ces programmes...
2) Je branche le disque dur infecté sur un ordinateur sous Windows XP en tant que disque dur esclave afin d’y passer les différents détecteurs de virus pour simple diagnostic.
Malwarebyte’s et EliBagla ne disent pas grand-chose. Symantec, lui, est plus prolixe. En lançant une détection de virus depuis security.symantec.com (programme en ligne), il conclut, au bout de quelques heures : « 270064 files scanned, 10 file(s) infected on your disk drives. » Il en donne la liste (sans proposer de régler les problèmes). Dans cette liste, on trouve notamment :
- E:\Documents and Settings\Administrateur\Application Data\drivers\srosa2.sys is infected with Trojan Horse
- E:\Documents and Settings\Administrateur\Application Data\drivers\wfsintwq.sys is infected with Hacktool.Rootkit
- E:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe is infected with Trojan Horse
Il apparaît donc que trois des fichiers infectés se trouvent dans un répertoire « drivers » quelque part sous « Documents and Settings ». Je vais y voir de plus près et constate que ce répertoire contient (liste exhaustive) :
- downld (répertoire, modifié le 19/04/2009 11:48)
- srosa2.sys (7 Ko, modifié le 19/04/2009 11:48)
- wfsintwq.sys (123 Ko, modifié le 19/04/2009 11:48)
- winupgro.exe (824 Ko, modifié le 17/02/2004 09:07)
Et, dans le répertoire « downld », je trouve :
- 9027015.exe (1 Ko, modifié le 19/04/2009 11:48)
- 9027656.exe (1 Ko, modifié le 19/04/2009 11:48)
- 9027968.exe (1 Ko, modifié le 19/04/2009 11:48)
- 9043968.exe (2 Ko, modifié le 19/04/2009 11:48)
- 9046468.exe (2 Ko, modifié le 19/04/2009 11:48)
- 9047156.exe (1 Ko, modifié le 19/04/2009 11:48)
- 9056000.exe (50 Ko, modifié le 19/04/2009 11:48)
- 9058718.exe (50 Ko , modifié le 19/04/2009 11:48)
- 9060437.exe (50 Ko Application 19/04/2009 11:48)
Ayant un Windows 2000 installé sur un autre disque dur, je découvre qu’il n’existe normalement pas de répertoire « drivers » sous « C:\Documents and Settings\Administrateur\Application Data\ ». Ce qui semble vouloir dire que 1) le virus a créé ce répertoire pour y faire son nid, 2) il a dû modifier la base de registre afin de demander à Windows de lancer certains de ces fichiers au démarrage...
Cette hypothèse semble se confirmer puisque les fichiers de la base de registre (qui se trouvent pour la plupart sous WINNT\system32\config) ont été modifiés le jour même (et l’heure même) de l’activation du virus :
- Antivirus.Evt (1 216 Ko, 19/04/2009 11:49)
- AppEvent.Evt (512 Ko, 19/04/2009 11:49)
- default (172 Ko, 19/04/2009 11:49)
- SAM (24 Ko, 19/04/2009 11:49)
- SECURITY (32 Ko, 19/04/2009 11:49)
- SysEvent.Evt (512 Ko, 19/04/2009 11:49)
- system (4 404 Ko, 19/04/2009 11:49)
- SYSTEM.ALT (4 404 Ko, 19/04/2009 11:49)
Reste donc à éditer les fichiers de la base de registre du disque dur esclave.
L'utilisation du logiciel « Alien Registry Viewer » me permet de constater que deux entrées (au moins) ont été ajoutées par le virus :
- HKEY_USERS\Software\Local AppWizard-Generated Applications\winupgro
- HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa
Dans cette seconde clé, une des valeurs contient « wfsintwq.sys » (nom du fichier apparaissant dans le message de l’écran bleu). J’avais donc raison : le virus a modifié la base de registre afin de lui demander de démarrer wfsintwq.sys.
Acte V. Le dévirusage
Rappel (pour ceux qui auraient eu la flemme de lire ce qui précède) : Je travaille sur mon disque dur système installé en esclave sur un autre système puisque Windows ne démarre plus (ni en mode normal ni en mode sans échec).
1) Suppression du répertoire « drivers » contenant les virus.
Je supprime le répertoire Documents and Settings\Administrateur\Application Data\drivers\ dont on a vu qu’il contenait notamment les fichiers du virus srosa2.sys, wfsintwq.sys et winupgro.exe.
Je vais ensuite déviruser la base de registre (en suivant des conseils trouvés ici : http://www.aidewindows.net/bdr1.php#importer_ruche).
2) Base de registre - Suppression de la clé « srosa ».
a) J’édite la branche « system » de la base de registre grâce à Regedit :
-Je lance Regedit.
-Je clique sur HKEY_LOCAL_MACHINE.
-Je vais dans le menu Fichier/Charger la ruche...
-J’indique le fichier E:\WINNT\system32\config\system.
Une boîte de dialogue s’ouvre me demandant « Nom de la clé ».
-J’indique « TempDevirusage01 » (clé temporaire de dévirusage n°1).
Sous HKEY_LOCAL_MACHINE, j’ai alors une branche « TempDevirusage01 ».
b) Je supprime la clé HKEY_LOCAL_MACHINE\TempDevirusage01\ControlSet001\Services\srosa
(C’est la clé qui demande le lancement du fichier wsintwq.sys.)
c) Je « décharge la ruche » :
-Je clique sur HKEY_LOCAL_MACHINE\TempDevirusage01.
-Je vais dans le menu Fichier/Décharger la ruche...
Un message apparaît : « Voulez-vous décharger la clé actuelle et toutes ces sous-clés ? »
-Je réponds « Oui ».
(Je vérifie que le fichier E:\WINNT\system32\config\system a bien pour « date de modification » la date et l’heure actuelle.)
3) Base de registre - Suppression de la clé « winupgro ».
a) J’édite le fichier « NTUSER.DAT » de la base de registre grâce à Regedit :
-Je lance Regedit.
-Je clique sur HKEY_USERS.
-Je vais dans le menu Fichier/Charger la ruche...
-J’indique le fichier E:\Documents and Settings\Administrateur\NTUSER.DAT.
Une boîte de dialogue s’ouvre me demandant « Nom de la clé ».
-J’indique « TempDevirusage02 » .
Sous HKEY_USERS, j’ai alors une branche « TempDevirusage02 ».
b) Je supprime la clé HKEY_USERS\TempDevirusage02\Software\Local AppWizard-Generated Applications \ winupgro
c) Je « décharge la ruche » :
-Je clique sur HKEY_USERS\TempDevirusage02.
-Je vais dans le menu Fichier/Décharger la ruche...
Un message apparaît : « Voulez-vous décharger la clé actuelle et toutes ces sous-clés ? »
-Je réponds « Oui ».
(Je vérifie que le fichier E:\Documents and Settings\Administrateur\NTUSER.DAT a bien pour « date de modification » la date et l’heure actuelle.)
4) Base de registre - Ajout de la clé « safeboot » (pour permettre le démarrage en mode sans échec).
a) Je télécharge un fichier (safeboot_w2k.reg) permettant de réparer le mode sans échec d’un ordinateur sous Windows 2000 service pack 4 : http://www.assistepc.com/forum/reparer-le-mode-sans-echec-de-windows-vt867.html.
C’est un fichier qui travaille exclusivement sur la clé « CurrentControlSet »:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot.
b) J’édite le fichier « NTUSER.DAT » de la base de registre grâce à Regedit :
-Je lance Regedit.
-Je clique sur HKEY_LOCAL_MACHINE.
-Je vais dans le menu Fichier/Charger la ruche...
-J’indique le fichier E:\Documents and Settings\Administrateur\NTUSER.DAT.
Une boîte de dialogue s’ouvre me demandant « Nom de la clé ».
-J’indique « TempDevirusage03 ».
Sous HKEY_LOCAL_MACHINE, j’ai alors une branche « TempDevirusage03 ».
c) Je constate qu’il n’existe pas de clé HKEY_LOCAL_MACHINE\TempDevirusage03\SYSTEM\CurrentControlSet\Control\SafeBoot
d) Je modifie le fichier .reg en remplaçant HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot par HKEY_LOCAL_MACHINE\TempDevirusage03\SYSTEM\CurrentControlSet\Control\SafeBoot
e) Je double clique sur ce fichier et je réponds que j’accepte la fusion avec la base de registre.
Dans la base de registre, la clé SafeBoot apparaît bien à l’endroit souhaité.
f) Je « décharge la ruche » :
-Je clique sur HKEY_LOCAL_MACHINE\TempDevirusage03.
-Je vais dans le menu Fichier/Décharger la ruche...
Un message apparaît : « Voulez-vous décharger la clé actuelle et toutes ces sous-clés ? »
-Je réponds « Oui ».
(Je vérifie que le fichier E:\Documents and Settings\Administrateur\NTUSER.DAT a bien pour « date de modification » la date et l’heure actuelle.)
5) Démarrage de Windows.
Après ces modifications, je boote sur le disque dur. Ça marche : l’ordinateur démarre en mode normal.
6) Exécution des antivirus.
a) Je lance le logiciel EliBagla (15 mn). Il m’indique un fichier infecté et éliminé : « SROSA2.SYS -> Bagle(rootkit) ».
b) Je lance Malwarebytes’ Anti-Malware (examen complet d'1h25) qui trouve 11 éléments infectés (5 clés du registre, 1 valeur du registre et 5 fichiers). Je les supprime.
c) Je lance Combofix (20 mn) qui semble ne rien trouver.
d) J’utilise security.symantec.com (détecteur de virus en ligne) dans l’espoir qu’il me confirme que je n’ai plus rien. J'effectue un « Symantec Security Check / Virus Detection ». Au bout d'une heure, il a terminé :
« 93134 files scanned, 4 file(s) infected on your disk drives. No viruses were detected in memory. Your computer is infected with at least one known virus or Trojan horse. » Mais visiblement rien qui ne soit dû à Bagle.
7) Réinstallation d’Avast.
Comme indiqué dans l'article de commentcamarche.net, Bagle « neutralise aussi le fonctionnement de l’antivirus et du pare-feu, et empêche leur réinstallation ». Et, en effet, malgré le dévirusage, mon antivirus (Avast) n’accepte toujours pas de redémarrer : l’icône qui apparaît en bas à droite de l’écran indique qu’il est inactif. Même en demandant de « Démarrer la protection résidente », rien ne se passe. Je décide donc de le désinstaller puis de le réinstaller. Après l’installation (suivie d’un redémarrage), Avast scanne le disque dur. Durée : 1 heure. Aucun fichier infecté n'est trouvé et Avast se remet à fonctionner normalement.
8) Réparation de Outlook Express, de Windows Update et de Word.
Malheureusement, Bagle a causé quelques dégâts... Si Internet Explorer marche bien, Outlook Express ne veut pas démarrer. J’obtiens tout de suite le message : « Outlook Express n’a pas pu démarrer car le fichier MSOE.DLL n’a pas pu être chargé. »
De la même manière, Windows Update a des problèmes. Après l’avoir lancé puis avoir demandé une mise à jour (« rapide » ou « personnalisée »), j’obtiens le message : « Les fichiers nécessaires à l’utilisation de Windows Update ne sont plus inscrits dans le Registre ou installés sur votre ordinateur. » Il propose alors d’« inscrire ou réinstaller les fichiers », ce que je lui demande de faire. Mais cela ne marche pas : « Le site Web a rencontré une erreur et ne peut pas afficher la page demandée. » Le numéro de l’erreur (inscrit en haut à droite) est : « 0x8007041D ».
Par ailleurs, mon Word 2003 démarre en affichant le message : « Ce document contient des macros. La prise en charge du langage Macro a été désactivée pour cette application. Les composants nécessitant VBA ne sont pas disponibles. Souhaitez-vous ouvrir ce document en lecture seule ? » Je clique sur « Annuler ». Word se lance quand même puis explique : « La fonction que vous essayez d’exécuter contient des macros ou un contenu qui exige la prise en charge du langage macro. Lorsque le logiciel a été installé, vous (ou votre administrateur) avez choisi de ne pas installer cette prise en charge. » Et plus tard : « Impossible d’ouvrir (Normal.dot) ».
La seule solution que j’ai trouvée pour régler ces trois problèmes est de faire une « mise à niveau de Windows 2000 » :
- J’insère le CDROM de Windows 2000 puis je clique sur Setup.exe.
- Je demande « Installer Windows 2000 » puis « Effectuer une mise à niveau vers Windows 2000 ».
- Après un redémarrage voulu par le système, l’ordinateur poursuit la « mise à niveau de Windows 2000 Professionnel » (en passant par l’étape de la détection et l’installation des périphériques).
Après ça, Outlook Express accepte de démarrer, Windows Update se met à fonctionner correctement (...même s’il me faut réinstaller toutes les mises à jour) et Word 2003 marche comme avant.
Tout est finalement rentré dans l’ordre. Après plusieurs jours de lutte acharnée et beaucoup de patience, Bagle a été vaincu et j'ai retrouvé mon système et tous mes logiciels (tels que je les avais configurés) sans avoir eu besoin de tout réinstaller.
pourquoi pas !