PB éradication .win32.Bagle.bra
ecojef
Messages postés
63
Statut
Membre
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
J'ai infecté mon Portable (XP SP2) avec le virus suivant : Trojan-Downloader.Win32.Bagle.bra (d'après Scan ne ligne de Kaspersky).
Le virus à désactivé mon Antivirus, le pare-feu de windows, la restauration du système, la possibilité de démarrer en mode sans échec, semble rendre inopérants la plupart des outils de détection et de diagnostic que j'ai testé (SaveBootrepair - Combofix - HiJackThis - Gmer...) et ce même si je change leur nom avant de les exécuter. Il a désactivé ma connexion Wifi principal, mais pas celle du "Neuf Spot" (je suis chez SFR).
En revanche, Windows démarre normalement (si j'ose dire), le menu exécuter est encore présent dans le menu démarrer, l'accès au registre aussi, la possibilité d'afficher les fichiers cachés également.
J'ai pu constater la présence de srosa.sys (C/Windows/system32/). Bien sûr, son élimination manuelle ne sert à rien, il revient au démarrage....
J'ai bien cherché dans les forum, mais apparemment l'éradication est difficile et je me permets donc de demander de l'aide....
Je remercie tous ceux qui pourront me guider.
J'ai infecté mon Portable (XP SP2) avec le virus suivant : Trojan-Downloader.Win32.Bagle.bra (d'après Scan ne ligne de Kaspersky).
Le virus à désactivé mon Antivirus, le pare-feu de windows, la restauration du système, la possibilité de démarrer en mode sans échec, semble rendre inopérants la plupart des outils de détection et de diagnostic que j'ai testé (SaveBootrepair - Combofix - HiJackThis - Gmer...) et ce même si je change leur nom avant de les exécuter. Il a désactivé ma connexion Wifi principal, mais pas celle du "Neuf Spot" (je suis chez SFR).
En revanche, Windows démarre normalement (si j'ose dire), le menu exécuter est encore présent dans le menu démarrer, l'accès au registre aussi, la possibilité d'afficher les fichiers cachés également.
J'ai pu constater la présence de srosa.sys (C/Windows/system32/). Bien sûr, son élimination manuelle ne sert à rien, il revient au démarrage....
J'ai bien cherché dans les forum, mais apparemment l'éradication est difficile et je me permets donc de demander de l'aide....
Je remercie tous ceux qui pourront me guider.
A voir également:
- PB éradication .win32.Bagle.bra
- Trojan win32 - Forum Virus
- Puabundler win32 rostpay ✓ - Forum Antivirus
- Puadimanager win32/offercore ✓ - Forum Virus
- PUA:Win32/InstallCore detecté par windows sécurité ✓ - Forum Virus
- Win32 pup gen ✓ - Forum Linux / Unix
89 réponses
oui le dernier rapport ZHPDiagMD5#5 et l'avant dernier ZHPDiag#4 ont été obtenu après le passage de ZHPFix et le reboot de l'ordi
Effectivement le Bagle était dans un crack pour EasyRecover de Ontrack (en fait, je voulais juste dépanner une personne dont la clé avait une erreur logique et pour laquelle le logiciel gratuit FileRecovery n'avait pas récupéré la totalité des fichiers).....
merci Chiquitine29, et bonsoir, ta version de FindyKill, s'est lancée. Je lui fais excécuter une recherche et je vous envoie le rapport....
voilà le rapport de FindyKill nouvelle version :
fichier FindyKill#1.txt : http://www.cijoint.fr/cjlink.php?file=cj200911/cij8IXjPRY.txt
petite remarque : FindyKill a bien fonctionné et semble avoir analysé l'ensemble de mes fichiers, mais il s'est arrété en laissant simplement une fenêtre noire avec dans la barre des titres un "scan Progress" à 50%.
Pour le moment, je n'ai pas quitté FindyKill et j'ai copié le rapport sans l'éliminer.
Si cette remarque est due à un dysfonctionnement, faites le moi savoir.... merci
fichier FindyKill#1.txt : http://www.cijoint.fr/cjlink.php?file=cj200911/cij8IXjPRY.txt
petite remarque : FindyKill a bien fonctionné et semble avoir analysé l'ensemble de mes fichiers, mais il s'est arrété en laissant simplement une fenêtre noire avec dans la barre des titres un "scan Progress" à 50%.
Pour le moment, je n'ai pas quitté FindyKill et j'ai copié le rapport sans l'éliminer.
Si cette remarque est due à un dysfonctionnement, faites le moi savoir.... merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
je préfererai que ce soit Chiquitine qui intervienne directement pour FindyKill.
Mon impression est qu'il bloque.
Chiquitine, ZHPFix pourrait probablement supprimer les fichiers du crack si nécessaire.
je préfererai que ce soit Chiquitine qui intervienne directement pour FindyKill.
Mon impression est qu'il bloque.
Chiquitine, ZHPFix pourrait probablement supprimer les fichiers du crack si nécessaire.
au fait les fichiers du cracks infectés, vous intéresse, car je pense que je pourrais les retrouver sur Internet, ou dans ma corbeille... enfin je pense.
Je me rappelle juste que l'archive contenait 3 fichier un en .ifo ; un install.exe et "xbundler main.dll" (je m'en rappelle car j'ai fait une recherche sur le net).
Je me rappelle juste que l'archive contenait 3 fichier un en .ifo ; un install.exe et "xbundler main.dll" (je m'en rappelle car j'ai fait une recherche sur le net).
Pour l'instant FindyKill patch mon système....
(J'ai dû l'arréter de force en fermant la fenêtre et un message d'erreur m'a permis de stopper l'application qui ne répondait pas. J'ai relancer FindyKill et commencer la phase de suppression, après les avertissements, le Pc a redémarré et maintenant FindyKill semble tourner correctement (progress à 30 %)
(J'ai dû l'arréter de force en fermant la fenêtre et un message d'erreur m'a permis de stopper l'application qui ne répondait pas. J'ai relancer FindyKill et commencer la phase de suppression, après les avertissements, le Pc a redémarré et maintenant FindyKill semble tourner correctement (progress à 30 %)
en fait, j'avais installé la version d'évaluation d'Easy Recover téléchargée sur le site de l'éditeur, donc saine. Et je croyais cracker cette évaluation.... (pas bien)...... pas le crack récupéré sur Internet.
Sinon FindyKill continue de travailler, il a passé la fonction patch sur C et D (unité de restauration du systéme du portable HP) sans encombre (apparemment) et maintenant il clignote très vite avec cette affichage "Patch : %~dpb"
Est ce normal ???
Sinon FindyKill continue de travailler, il a passé la fonction patch sur C et D (unité de restauration du systéme du portable HP) sans encombre (apparemment) et maintenant il clignote très vite avec cette affichage "Patch : %~dpb"
Est ce normal ???
concernant le crack, il n'a pas dû modifier EasyRecovery, et je ne sais plus si j'ai eu le temps de désinstaller l'application.
Sinon, FindyKill a arrété de faire clignoter le message de lmon dernier post et j'en suis à nettoyage de disque
Sinon, FindyKill a arrété de faire clignoter le message de lmon dernier post et j'en suis à nettoyage de disque
Re ,
maintenant il clignote très vite avec cette affichage "Patch : %~dpb"
Est ce normal ???
Non , c est un bug sans gravité , qui vient d etre corrigé .
maintenant il clignote très vite avec cette affichage "Patch : %~dpb"
Est ce normal ???
Non , c est un bug sans gravité , qui vient d etre corrigé .
FindyKill à fais un peut de ménage ...
Je te laisse en compagnie de Lyonnais92 et crapoulou , je dois me lever tot demain .
Bonne suite .
Je te laisse en compagnie de Lyonnais92 et crapoulou , je dois me lever tot demain .
Bonne suite .
quelques questions pour continuer :
les très nombreux fichiers suprimés par FindyKill et qui étaient dans les dossiers "drivers" et "hidires", étaient vraiment sur mon PC ???; car la plupart des noms ne me disent rien du tout. J'aurais eu d'anciennes infections qui auraient permis de télécharger tous ces fichiers à mes depends et ce malgré le pare-feu et Kaspersky régulièrement mis à jour ? C'est ça ou je me trompe ?
Sinon, est ce que je dois refaire un diagnostic avec un logiciels comme ZHPDiag ou un autre ?
Pour le moment de viens de désinstaller mon Antivirus, qui ne fonctionnait pas (application non valide). La désinstallation s'est bien passée, mais il faudrait que je redémarre le PC pour refaire l'installation. Dois-je le faire maintenant, ou je dois attendre vos instructions ?
les très nombreux fichiers suprimés par FindyKill et qui étaient dans les dossiers "drivers" et "hidires", étaient vraiment sur mon PC ???; car la plupart des noms ne me disent rien du tout. J'aurais eu d'anciennes infections qui auraient permis de télécharger tous ces fichiers à mes depends et ce malgré le pare-feu et Kaspersky régulièrement mis à jour ? C'est ça ou je me trompe ?
Sinon, est ce que je dois refaire un diagnostic avec un logiciels comme ZHPDiag ou un autre ?
Pour le moment de viens de désinstaller mon Antivirus, qui ne fonctionnait pas (application non valide). La désinstallation s'est bien passée, mais il faudrait que je redémarre le PC pour refaire l'installation. Dois-je le faire maintenant, ou je dois attendre vos instructions ?
Re ,
Tous fichier cité sur le rapport sont créé par l infection et donc bien present .
Oui tu peux redémarrer et réinstaller ton anti virus , et effectivement un nouveau rapport ZHP sera util pour la suite à donner .
Tous fichier cité sur le rapport sont créé par l infection et donc bien present .
Oui tu peux redémarrer et réinstaller ton anti virus , et effectivement un nouveau rapport ZHP sera util pour la suite à donner .
voilà le rapport de ZHPDiag (toutes options cochées et analyse par la loupe de gauche) (fichier ZHPDiag#6.txt)
http://www.cijoint.fr/cjlink.php?file=cj200911/cijzK4ze8S.txt
et le rapport avec toutes options cochées et analyse détaillée (MD5 ?) petite loupe de droite (fichier ZHPDiagMD5#2)
http://www.cijoint.fr/cjlink.php?file=cj200911/cijTM0xW8W.txt
Voilà, je laisse l'un d'entre vous me dire si le bagle.bra est éradiqué et s'il n'y a pu de problème.
Pour le moment, j'ai quelques soucis pour réinstaller Kaspersky, si j'ai besoin d'aide je vous retiens au courant.
http://www.cijoint.fr/cjlink.php?file=cj200911/cijzK4ze8S.txt
et le rapport avec toutes options cochées et analyse détaillée (MD5 ?) petite loupe de droite (fichier ZHPDiagMD5#2)
http://www.cijoint.fr/cjlink.php?file=cj200911/cijTM0xW8W.txt
Voilà, je laisse l'un d'entre vous me dire si le bagle.bra est éradiqué et s'il n'y a pu de problème.
Pour le moment, j'ai quelques soucis pour réinstaller Kaspersky, si j'ai besoin d'aide je vous retiens au courant.
Re,
Chiquitine, merci de ton intervention.
===
il faut traiter cette liste :
################## | PEH ... |
Corrompu : C:\Documents and Settings\jeff\Bureau\à trier\logiciels portable\PortableThunderbird\App\thunderbird\uninstall\helper.exe
[Offset = 000000DC - Valeur = 0x0001]
Corrompu : C:\Documents and Settings\jeff\Local Settings\Temp\LUInit.exe
[Offset = 000000DC - Valeur = 0x0001]
Corrompu : C:\Documents and Settings\jeff\Mes documents\Downloads\HiJackThis.exe
[Offset = 000000C4 - Valeur = 0x0001]
Corrompu : C:\Documents and Settings\jeff\Mes documents\DVDVideoSoft\Cleaner.exe
[Offset = 00000204 - Valeur = 0x0001]
Corrompu : C:\Documents and Settings\jeff\Mes documents\LimeWire\Saved\System Mechanic Pro v7.5.10.5 Multilanguage + Crack\CRACK\CRACK\ioloAV.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\Documents and Settings\jeff\Mes documents\LimeWire\Saved\System Mechanic Pro v7.5.10.5 Multilanguage + Crack\CRACK\CRACK\ioloFW.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\HiJackThis.exe
[Offset = 000000C4 - Valeur = 0x0001]
Corrompu : C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
[Offset = 000000EC - Valeur = 0x0001]
Corrompu : C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
[Offset = 000000C4 - Valeur = 0x0001]
Tu es en train de réinstaller Kaspersky (urgent).
Supprime C:\Documents and Settings\jeff\Mes documents\Downloads\HiJackThis.exe, C:\Program Files\Trend Micro\HijackThis\HijackThis.exe, C:\Documents and Settings\jeff\Local Settings\Temp\LUInit.exe, C:\Documents and Settings\jeff\Mes documents\LimeWire\Saved\System Mechanic Pro v7.5.10.5 Multilanguage + Crack\CRACK\CRACK\ioloAV.exe et C:\Documents and Settings\jeff\Mes documents\LimeWire\Saved\System Mechanic Pro v7.5.10.5 Multilanguage + Crack\CRACK\CRACK\ioloFW.exe
Réinstalle PortableThunderbird, DVDVideoSoft
===
Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3
* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.
===
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.
5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :
7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
12) Ferme MBAM en cliquant sur Quitter.
13) Poste le rapport dans ta réponse
Chiquitine, merci de ton intervention.
===
il faut traiter cette liste :
################## | PEH ... |
Corrompu : C:\Documents and Settings\jeff\Bureau\à trier\logiciels portable\PortableThunderbird\App\thunderbird\uninstall\helper.exe
[Offset = 000000DC - Valeur = 0x0001]
Corrompu : C:\Documents and Settings\jeff\Local Settings\Temp\LUInit.exe
[Offset = 000000DC - Valeur = 0x0001]
Corrompu : C:\Documents and Settings\jeff\Mes documents\Downloads\HiJackThis.exe
[Offset = 000000C4 - Valeur = 0x0001]
Corrompu : C:\Documents and Settings\jeff\Mes documents\DVDVideoSoft\Cleaner.exe
[Offset = 00000204 - Valeur = 0x0001]
Corrompu : C:\Documents and Settings\jeff\Mes documents\LimeWire\Saved\System Mechanic Pro v7.5.10.5 Multilanguage + Crack\CRACK\CRACK\ioloAV.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\Documents and Settings\jeff\Mes documents\LimeWire\Saved\System Mechanic Pro v7.5.10.5 Multilanguage + Crack\CRACK\CRACK\ioloFW.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\HiJackThis.exe
[Offset = 000000C4 - Valeur = 0x0001]
Corrompu : C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
[Offset = 000000EC - Valeur = 0x0001]
Corrompu : C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
[Offset = 000000C4 - Valeur = 0x0001]
Tu es en train de réinstaller Kaspersky (urgent).
Supprime C:\Documents and Settings\jeff\Mes documents\Downloads\HiJackThis.exe, C:\Program Files\Trend Micro\HijackThis\HijackThis.exe, C:\Documents and Settings\jeff\Local Settings\Temp\LUInit.exe, C:\Documents and Settings\jeff\Mes documents\LimeWire\Saved\System Mechanic Pro v7.5.10.5 Multilanguage + Crack\CRACK\CRACK\ioloAV.exe et C:\Documents and Settings\jeff\Mes documents\LimeWire\Saved\System Mechanic Pro v7.5.10.5 Multilanguage + Crack\CRACK\CRACK\ioloFW.exe
Réinstalle PortableThunderbird, DVDVideoSoft
===
Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3
* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.
===
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.
5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :
7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
12) Ferme MBAM en cliquant sur Quitter.
13) Poste le rapport dans ta réponse
