PB éradication .win32.Bagle.bra
ecojef
Messages postés
63
Statut
Membre
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
J'ai infecté mon Portable (XP SP2) avec le virus suivant : Trojan-Downloader.Win32.Bagle.bra (d'après Scan ne ligne de Kaspersky).
Le virus à désactivé mon Antivirus, le pare-feu de windows, la restauration du système, la possibilité de démarrer en mode sans échec, semble rendre inopérants la plupart des outils de détection et de diagnostic que j'ai testé (SaveBootrepair - Combofix - HiJackThis - Gmer...) et ce même si je change leur nom avant de les exécuter. Il a désactivé ma connexion Wifi principal, mais pas celle du "Neuf Spot" (je suis chez SFR).
En revanche, Windows démarre normalement (si j'ose dire), le menu exécuter est encore présent dans le menu démarrer, l'accès au registre aussi, la possibilité d'afficher les fichiers cachés également.
J'ai pu constater la présence de srosa.sys (C/Windows/system32/). Bien sûr, son élimination manuelle ne sert à rien, il revient au démarrage....
J'ai bien cherché dans les forum, mais apparemment l'éradication est difficile et je me permets donc de demander de l'aide....
Je remercie tous ceux qui pourront me guider.
J'ai infecté mon Portable (XP SP2) avec le virus suivant : Trojan-Downloader.Win32.Bagle.bra (d'après Scan ne ligne de Kaspersky).
Le virus à désactivé mon Antivirus, le pare-feu de windows, la restauration du système, la possibilité de démarrer en mode sans échec, semble rendre inopérants la plupart des outils de détection et de diagnostic que j'ai testé (SaveBootrepair - Combofix - HiJackThis - Gmer...) et ce même si je change leur nom avant de les exécuter. Il a désactivé ma connexion Wifi principal, mais pas celle du "Neuf Spot" (je suis chez SFR).
En revanche, Windows démarre normalement (si j'ose dire), le menu exécuter est encore présent dans le menu démarrer, l'accès au registre aussi, la possibilité d'afficher les fichiers cachés également.
J'ai pu constater la présence de srosa.sys (C/Windows/system32/). Bien sûr, son élimination manuelle ne sert à rien, il revient au démarrage....
J'ai bien cherché dans les forum, mais apparemment l'éradication est difficile et je me permets donc de demander de l'aide....
Je remercie tous ceux qui pourront me guider.
A voir également:
- PB éradication .win32.Bagle.bra
- Trojan win32 - Forum Virus
- Puabundler win32 rostpay ✓ - Forum Antivirus
- Puadimanager win32/offercore ✓ - Forum Virus
- PUADlManager:Win32/OfferCore ✓ - Forum Virus
- Win32 pup gen ✓ - Forum Linux / Unix
89 réponses
Mais de rien :-)
Je ne pense pas que MBAM ait pu faire un quelconque dégât quant à la stabilité du système puisque, FP ou pas, les fichiers détectés appartiennent à des répertoires 'de secours' grosso modo (si je ne me trompe pas). En d'autres termes ceux ne sont pas des fichiers actifs, juste de remplacement.
Je ne pense pas que MBAM ait pu faire un quelconque dégât quant à la stabilité du système puisque, FP ou pas, les fichiers détectés appartiennent à des répertoires 'de secours' grosso modo (si je ne me trompe pas). En d'autres termes ceux ne sont pas des fichiers actifs, juste de remplacement.
Bonjour,
MBAM a reconnu que ce sont des faux positifs
Relance MBAM, ouvre l'onglet Quarantaine.
Si ces 3 fichiers y sont encore :
C:\WINDOWS\ServicePackFiles\i386\user32.dll (Virus.Mariofev) -> No action taken.
C:\WINDOWS\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\user32.dll (Virus.Mariofev) -> No action taken.
C:\WINDOWS\$NtServicePackUninstall$\user32.dll (Virus.Mariofev) -> No action taken.
Clique sur le premier pour le mettre en surbrillance puis sur restaurer;
Fais de même pour les 2 autres.
===
Va sur l'onglet Mise à jour et effectue la mise à jour.
Reviens sur l'onglet principal et fais un scan rapide.
Poste le rapport.
===
Il faut toujours mettre à jour MBAM avant de lancer un scan.
MBAM a reconnu que ce sont des faux positifs
Relance MBAM, ouvre l'onglet Quarantaine.
Si ces 3 fichiers y sont encore :
C:\WINDOWS\ServicePackFiles\i386\user32.dll (Virus.Mariofev) -> No action taken.
C:\WINDOWS\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\user32.dll (Virus.Mariofev) -> No action taken.
C:\WINDOWS\$NtServicePackUninstall$\user32.dll (Virus.Mariofev) -> No action taken.
Clique sur le premier pour le mettre en surbrillance puis sur restaurer;
Fais de même pour les 2 autres.
===
Va sur l'onglet Mise à jour et effectue la mise à jour.
Reviens sur l'onglet principal et fais un scan rapide.
Poste le rapport.
===
Il faut toujours mettre à jour MBAM avant de lancer un scan.
salut Lyonnais 92,
voilà j'ai suivi tes conseils.
le rapport MBAM n'indique plus rien :
#####################################"
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3238
Windows 5.1.2600 Service Pack 3
26/11/2009 19:31:40
mbam-log-2009-11-26 (19-31-40).txt
Type de recherche: Examen rapide
Eléments examinés: 144494
Temps écoulé: 18 minute(s), 57 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
#############################################
voilà j'ai suivi tes conseils.
le rapport MBAM n'indique plus rien :
#####################################"
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3238
Windows 5.1.2600 Service Pack 3
26/11/2009 19:31:40
mbam-log-2009-11-26 (19-31-40).txt
Type de recherche: Examen rapide
Eléments examinés: 144494
Temps écoulé: 18 minute(s), 57 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
#############################################
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
tu as pu récupérer tes fichiers ?
On va essayer de nettoyer.
=>Télécharge (Attribune)
-- Met le sur ton bureau
=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected
* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Quitte ATF-Cleaner
===
*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !
->Lance CCleaner.
Suppression des fichiers temporaires
Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]
tu as pu récupérer tes fichiers ?
On va essayer de nettoyer.
=>Télécharge (Attribune)
-- Met le sur ton bureau
=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected
* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Quitte ATF-Cleaner
===
*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !
->Lance CCleaner.
Suppression des fichiers temporaires
Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]
je remets un lien pour télécharger ATF-Cleaner car le tien n'était plus valide.
http://www.atribune.org/index.php?option=com_content&task=view&id=25&Itemid=25
Sinon, j'ai fait les opérations que tu m'as conseillées, d'ailleurs j'avais déjà fait une réinstallation des navigateurs et une réinitialisation d'internet Explorer.
Malheureusement, le problème persiste.....
En tout cas, ça semble lié à l'installation du SP3. Il y a du avoir une erreur à un moment donné. Il faudrait peut être que je désinstalle le SP3 et le réinstallé.
Qu'en penses-tu ?
http://www.atribune.org/index.php?option=com_content&task=view&id=25&Itemid=25
Sinon, j'ai fait les opérations que tu m'as conseillées, d'ailleurs j'avais déjà fait une réinstallation des navigateurs et une réinitialisation d'internet Explorer.
Malheureusement, le problème persiste.....
En tout cas, ça semble lié à l'installation du SP3. Il y a du avoir une erreur à un moment donné. Il faudrait peut être que je désinstalle le SP3 et le réinstallé.
Qu'en penses-tu ?
Bonsoir à vous tous,
Suite à mes problèmes d'exécution des mes navigateurs Web (voir post 85 pour les détails ; résumé = la première session ouverte ne pouvait pas faire exécuter les navigateurs, par contre les sessions ouvertes ensuite le pouvaient) j'ai désinstallé SP3, puis Internet Explorer 8, puis réinstallé SP3.
Le problème demeure, mais voilà mes observations :
- à la suite de la désinstallation de SP3, l'exécution des navigateurs web se faisait correctement depuis n'importe quelle session. Donc apparemment ce n'était pas un problème avec Internet Explorer 8. (mais j'ai tout de même fait sa désinstallation).
- Lors de la réinstallation du SP3, j'ai eu plusieurs messages d'erreurs, le premier était :
"Le programme d'installation ne peut pas copier le fichier wuaueng.dl_." et ce message me demandait de vérifier le chemin d'accès c:\4097d7c83a4cc3f28a\i386 ou d'utiliser le bouton "parcourir" pour en changer.
puis, j'ai eu le même message pour les fichiers suivant : tscfgwmi.mo_ ; ispnoanw.ht_ et btn2.gi_
Ne sachant pas ou trouver ses fichiers, je n'ai pas utiliser la possiblité de changer le chemin d'accès et j'ai poursuivi l'installation de SP3 sans copier les fichiers en question.
Finalement l'installation s'est poursuivie correctement, le démarrage du PC s'est bien déroulé, mais j'ai retrouvé mon problème d'exécution des navigateurs web lors de la première session ouverte.
Je précise que mon ordinateur, est un portable HP Pavillon dv5000, vendu sans CD d'installation de Windows XP, mais avec un DVD de restauration que j'ai dû graver. Il existe à la racine (:C\) un dossier "I386" qui contient donc les fichiers d'installation de Windows. Par contre je ne vois pas à quoi correspond ce chemin d'accès "c:\4097d7c83a4cc3f28a\i386".
Ma question est comment je peux maintenant recopier les fichiers qui n'ont pas pu être installés. (Où les trouver et où les copier ?)
Merci
Suite à mes problèmes d'exécution des mes navigateurs Web (voir post 85 pour les détails ; résumé = la première session ouverte ne pouvait pas faire exécuter les navigateurs, par contre les sessions ouvertes ensuite le pouvaient) j'ai désinstallé SP3, puis Internet Explorer 8, puis réinstallé SP3.
Le problème demeure, mais voilà mes observations :
- à la suite de la désinstallation de SP3, l'exécution des navigateurs web se faisait correctement depuis n'importe quelle session. Donc apparemment ce n'était pas un problème avec Internet Explorer 8. (mais j'ai tout de même fait sa désinstallation).
- Lors de la réinstallation du SP3, j'ai eu plusieurs messages d'erreurs, le premier était :
"Le programme d'installation ne peut pas copier le fichier wuaueng.dl_." et ce message me demandait de vérifier le chemin d'accès c:\4097d7c83a4cc3f28a\i386 ou d'utiliser le bouton "parcourir" pour en changer.
puis, j'ai eu le même message pour les fichiers suivant : tscfgwmi.mo_ ; ispnoanw.ht_ et btn2.gi_
Ne sachant pas ou trouver ses fichiers, je n'ai pas utiliser la possiblité de changer le chemin d'accès et j'ai poursuivi l'installation de SP3 sans copier les fichiers en question.
Finalement l'installation s'est poursuivie correctement, le démarrage du PC s'est bien déroulé, mais j'ai retrouvé mon problème d'exécution des navigateurs web lors de la première session ouverte.
Je précise que mon ordinateur, est un portable HP Pavillon dv5000, vendu sans CD d'installation de Windows XP, mais avec un DVD de restauration que j'ai dû graver. Il existe à la racine (:C\) un dossier "I386" qui contient donc les fichiers d'installation de Windows. Par contre je ne vois pas à quoi correspond ce chemin d'accès "c:\4097d7c83a4cc3f28a\i386".
Ma question est comment je peux maintenant recopier les fichiers qui n'ont pas pu être installés. (Où les trouver et où les copier ?)
Merci
