Virus Bagle
Al91
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
Mon PC a été infecté par un virus Bagle qui bloque certaines applications (MSN, plus de son, d antiirus)
J ai utilisé Combofix pour éradiquer ce virus mais celui ci revient à chaque redémarrage de mon PC.
A l'aide !!!
Que dois je faire ?
Merci de votre aide....
Mon PC a été infecté par un virus Bagle qui bloque certaines applications (MSN, plus de son, d antiirus)
J ai utilisé Combofix pour éradiquer ce virus mais celui ci revient à chaque redémarrage de mon PC.
A l'aide !!!
Que dois je faire ?
Merci de votre aide....
Configuration: Window XP Explorer 8
4 réponses
-
Salut,
-+-+-+-> Findykill ( Infections Bagle ) <-+-+-+-
/!\ Désactive tes protections résidentes ( Antivirus, Pare-Feu, Antispyware ) /!\
[x] Télécharge Findykill à cette adresse : https://www.androidworld.fr/
[x] Branche tout tes médias amovibles sur ton PC
[x] Lance Findykill ( clique droit -> éxecuter en tant qu'administrateur sous vista )
[x] Choisis l'option F ( français ) puis l'option n°1 ( Recherche )
[x] Laisse le scan s'opérer.
[x] Copie/Colle le rapport qui s'ouvrira et poste le dans ta prochaine réponse
[x] Note : Le rapport FindyKill.txt est sauvegardé a la racine du disque. ( C:\FindyKill.txt )-
Voici le rapport après exécution
############################## | FindyKill V5.013 |
# User : Admin (Administrateurs) # ADMIN-6EC3A53D9
# Update on 08/10/2009 by Chiquitine29
# Start at: 03:34:07 | 12/10/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : Bitdefender Antivirus 8.0 [ (!) Disabled | Updated ]
# FW : Bitdefender Firewall[ (!) Disabled ]8.0
# C:\ # Disque fixe local # 232,88 Go (155,93 Go free) [Programmes] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local
# G:\ # Disque fixe local # 465,65 Go (57,05 Go free) [DONNÉES] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\AOLbox\Gateway\wlancfg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Fichiers communs\AOL\1188062686\ee\AOLSoftware.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Microsoft IntelliType Pro\dpupdchk.exe
C:\Program Files\Creative\Shared Files\CamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Admin\Application Data\drivers\winupgro.exe
C:\Documents and Settings\Admin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\StarOffice7\program\soffice.exe
C:\Program Files\iPod\bin\iPodService.exe
c:\program files\fichiers communs\aol\1188062686\ee\services\antiSpywareApp\ver2_0_28_1\AOLSP Scheduler.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Admin\Application Data\m\flec006.exe
C:\WINDOWS\system32\wintems.exe
C:\Documents and Settings\Admin\Application Data\hidires\flec003.exe
C:\Program Files\AOL 9.0 VRd\waol.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\AOL 9.0 VRd\shellmon.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Fichiers communs\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Program Files\Windows Installer Clean Up\msicuu.exe
############################## | Processus infectieux stoppés |
"C:\Documents and Settings\Admin\Application Data\drivers\winupgro.exe" (1372)
"C:\Documents and Settings\Admin\Application Data\m\flec006.exe" (3752)
"C:\WINDOWS\system32\wintems.exe" (216)
"C:\Documents and Settings\Admin\Application Data\hidires\flec003.exe" (1088)
################## | C: |
################## | C:\WINDOWS |
Présent ! C:\WINDOWS\Prefetch\100859.EXE-0754ADEF.pf
Présent ! C:\WINDOWS\Prefetch\101234.EXE-00385005.pf
Présent ! C:\WINDOWS\Prefetch\102250.EXE-2BF4BBFF.pf
Présent ! C:\WINDOWS\Prefetch\107734.EXE-263C72AB.pf
Présent ! C:\WINDOWS\Prefetch\142421.EXE-11A5B083.pf
Présent ! C:\WINDOWS\Prefetch\146140.EXE-15324018.pf
Présent ! C:\WINDOWS\Prefetch\159546.EXE-34A176BB.pf
Présent ! C:\WINDOWS\Prefetch\84578.EXE-0BFBD6B1.pf
Présent ! C:\WINDOWS\Prefetch\91109.EXE-33AEDEFD.pf
Présent ! C:\WINDOWS\Prefetch\91140.EXE-347C58B8.pf
Présent ! C:\WINDOWS\Prefetch\92187.EXE-2123304C.pf
Présent ! C:\WINDOWS\Prefetch\FLEC003.EXE-33DEDE1A.pf
Présent ! C:\WINDOWS\Prefetch\FLEC006.EXE-27EC2C33.pf
Présent ! C:\WINDOWS\Prefetch\MDELK.EXE-0EF461CE.pf
Présent ! C:\WINDOWS\Prefetch\WINTEMS.EXE-377E42D4.pf
################## | C:\WINDOWS\system32 |
Présent ! C:\WINDOWS\system32\ban_list.txt
Présent ! C:\WINDOWS\system32\mdelk.exe
Présent ! C:\WINDOWS\system32\wintems.exe
################## | C:\WINDOWS\system32\drivers |
################## | C:\Documents and Settings\Admin\Application Data |
Présent ! C:\Documents and Settings\Admin\Application Data\drivers
Présent ! C:\Documents and Settings\Admin\Application Data\drivers\downld
Présent ! C:\Documents and Settings\Admin\Application Data\drivers\srosa2.sys
Présent ! C:\Documents and Settings\Admin\Application Data\drivers\wfsintwq.sys
Présent ! C:\Documents and Settings\Admin\Application Data\drivers\winupgro.exe
Présent ! C:\Documents and Settings\Admin\Application Data\hidires
Présent ! C:\Documents and Settings\Admin\Application Data\hidires\config
Présent ! C:\Documents and Settings\Admin\Application Data\hidires\downloads.txt
Présent ! C:\Documents and Settings\Admin\Application Data\hidires\file.exe
Présent ! C:\Documents and Settings\Admin\Application Data\hidires\flec003.exe
Présent ! C:\Documents and Settings\Admin\Application Data\hidires\lang
Présent ! C:\Documents and Settings\Admin\Application Data\hidires\names.txt
Présent ! C:\Documents and Settings\Admin\Application Data\hidires\server.txt
Présent ! C:\Documents and Settings\Admin\Application Data\hidires\WDIR
Présent ! C:\Documents and Settings\Admin\Application Data\hidires\webserver
Présent ! C:\Documents and Settings\Admin\Application Data\m
Présent ! C:\Documents and Settings\Admin\Application Data\m\data.oct
Présent ! C:\Documents and Settings\Admin\Application Data\m\flec006.exe
Présent ! C:\Documents and Settings\Admin\Application Data\m\list.oct
Présent ! C:\Documents and Settings\Admin\Application Data\m\srvlist.oct
Présent ! C:\Documents and Settings\Admin\Application Data\m\shared
################## | Temporary Internet Files |
Présent ! C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\15THS58Y\b64_1[1].jpg
Présent ! C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\15THS58Y\file[1].txt
Présent ! C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\OU6Z0WIR\b64_3[1].jpg
Présent ! C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\OU6Z0WIR\b64_5[1].jpg
Présent ! C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\OU6Z0WIR\mxd2[1].jpg
Présent ! C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\PZ0J9MNV\b64_4[1].jpg
Présent ! C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\PZ0J9MNV\servernames[1].htm
Présent ! C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\RR64QWDN\b64[1].jpg
################## | Registre / Clés infectieuses |
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\MuleAppData]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-515967899-842925246-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-515967899-842925246-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-515967899-842925246-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "flec003.exe"
Présent ! [HKU\S-1-5-21-515967899-842925246-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Run] "flec003.exe"
Présent ! [HKU\S-1-5-21-515967899-842925246-1801674531-1004\Software\bisoft]
Présent ! [HKU\S-1-5-21-515967899-842925246-1801674531-1004\Software\DateTime4]
Présent ! [HKU\S-1-5-21-515967899-842925246-1801674531-1004\Software\MuleAppData]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\key_gen]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-515967899-842925246-1801674531-1004\Software\Local AppWizard-Generated Applications\key_gen]
Présent ! [HKU\S-1-5-21-515967899-842925246-1801674531-1004\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
Présent ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V5.013 ! |
-
-
Salut, bien infecté.
-+-+-+-> Findykill - Nettoyage <-+-+-+-
[x] Relance findykill mais choisis cette fois-ci l'option 2
[x] N'oublie pas de laisser tes médias amovibles branchés
[x] Le bureau disparaîtra et le PC redémarrera.
[x] Au redémarrage , FindyKill scannera ton PC, laisse travailler l'outil.
[x] Ensuite poste le rapport FindyKill.txt qui apparaîtra avec le Bureau.
[x] Note : le rapport FindyKill.txt est sauvegardé a la racine du disque. (C:\FindyKill.txt)-
bonjour
Il faudrai mettre ceci
lit ceci sur le danger des cracks en cliquant sur ce lien:
https://forum.malekal.com/viewtopic.php?t=893&start=
Le bagle s'attrape en téléchargeant des faux cracks par le P2P, les cracks sont un vrai danger et sont sources d'infections. Le bagle fait des dégats: il neutralise le fonctionnement des logiciels de sécurité, tel que l'anti-virus, qui va se retrouver corrompu, il supprime la clé safeboot (mode sans échec). Eviter de redémarrer le PC en mode sans échec par msconfig, car le PC redémarrerai en boucle sans pouvoir accéder en mode normal
-
-
Du grand n'importe quoi !!!
J'ai moi meme été infecté par ce virus et en lisant toutes les absurdités des forums je me suis dit que ca allait être compliqué.
Pas du tout, ce virus est vraiment trop débile.
Pour le supprimer (arretez tous avec vos procédures à coucher dehors) rien de plus simple.
Télecharges AVG anti virus free et mets le à la racine de ton disque dur c: Redemarres ton PC en mode sans échec, recherches dans system32 de windows wintems.exe et mdelk.exe et vires les.
Installes AVG et surtout mets les paramètres personalisés de facon à pouvoir changer le nom du repertoire d'installation (t'as qu'à mettre virusdebile), là ce naze de virus ne verra pas que tu installes un anti virus et il te laissera faire (il est vraiment trop con ce virus)
Une fois AVG installé, lances le en mode sans echec (detection via une fenetre dos), il va le virer en partie.
redemarres ton PC en mode normal et là tu pourras lancer AVG? TU LE LAISSES FAIRE SON BOULOT, il va lui mettre une raclée à ce morpion !!!
Bon courage.
P.S. Si les concepteurs de virus sont aussi cons que leurs bestioles, on a pas trop à s'inquiéter. -
-
-
Salut,
la mode de quoi ?
des chefs d'escadrille.
1) plus simple que FindyKill en 2 passages ?
2) et si le PC ne démarre pas en mode sans échec (et si c'est Bagle, il ne démarre pas en mode sans échec).
3) tu as vérifié que tous les fichiers créés par Bagle sont supprimés (même ceux qui sont "sains") ?
4) et les applications "shootées" par Bagle et qu'il faut réinstaller, tu les trouves où ?
-
