bagle/beagle Résolu

Question

aide moi svp, on m'a dit dans un autre tuto que j'étais infecté par de certains bagle/beagle et je pense que ce message qui se lance a chaque fois que je tente d'ouvrir une application a un rapport avec ça : Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression

aidez moi pliz !! 

Configuration: Windows Vista / Internet Explorer 7.0

Écran bleu, Geek malheureux.

verni29 · Answer

Bonjour, 

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur  OTL.scr  pour le lancer. 
Si sous Vista --> click droit sur le fichier et choisir exécuter en tant qu'administrateur
* Dans la partie  Personnalisation, copie/colle la liste suivante.

 netsvcs 
%SYSTEMDRIVE%\*.exe 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
IdeChnDr.sys 
viasraid.sys 
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
ahcix86.sys 
KR10N.sys 
nvstor32.sys 
ahcix86s.sys 
nvrd32.sys 
/md5stop 
%systemroot%\*. /mp /s 
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme http://cijoint.fr pour les déposer. 
indique ensuite les deux liens crées.

lusky16 · Answer

je te remercie beaucoup pour ta réponse, je termine mon travail et je fais ceci sans tarder

verni29 · Answer

OK, lusky16

Au juste, le message d'erreur que tu signales n'est pas du à un bagle.
C'est un code d'erreur de Windows.

1018 Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression. 

Pour vérifier, essaie d'ouvrir ton antivirus.
Bagle neutralise les protections du PC.

A+

lusky16 · Answer

ok merci pour l'info =), l'analyse est en cours, je poste dès que c'est terminé

lusky16 · Answer

voila enfin le log :   

OTL :http://www.cijoint.fr/cj201004/cijHLSxvwR.txt

Extras : http://www.cijoint.fr/cj201004/cij0egL6Nf.txt

  

Écran bleu, Geek malheureux.

verni29 · Answer

lusky16, 

Il y a bien des infections sur les deux partitions C: et D:.

1/ Il faut désactiver SpybotS&D pour que celui-ci n'interfère par sur la désinfection.

Ouvre SpybotS&D --> menu Mode -->  Mode avancé --> Outils --> Résident 
décoche Utiliser le tea timer.

2/ Il y a des traces de plusieurs antivirus Kaspersky, Norton.
On le nettoiera plus tard.

3/ désinstalle la version de combofix présente sur le PC.
Démarrer --> tous les programmes --> accessoires --> Invite de commande Ms Dos 
dans la fénêtre qui s'ouvre, tape :

ComboFix /uninstall

4/ Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/

# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :

Chemin : C:\Windows\Jfydub.exe

# Tu cliques ensuite sur envoyer le fichier.
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

A+

lusky16 · Answer

très bien, je fais ça de suite
-- 
Écran bleu, Geek malheureux.

lusky16 · Answer

spybot : OK pour le résident

petit problème avec combofix : http://img638.imageshack.us/img638/2781/combofix.jpg

et voila le scan virustotal : http://www.cijoint.fr/cj201004/cijP2brT76.txt

merci encore pour ton aide

verni29 · Answer

Pour combofix, on va essayer autre chose.

1/ Supprime Combofix sur le bureau si présent.
Supprime le dossier C:\ComboFix

2/ Relance OTL.exe.  

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
[2010/04/06 23:00:40 | 000,173,056 | ---- | C] () -- C:\Windows\Jfydub.exe
[2010/04/06 22:44:07 | 000,173,056 | ---- | C] () -- C:\Windows\Jfydua.exe
[2009/12/13 18:54:07 | 000,000,038 | ---- | C] () -- C:\Windows\1785.exe.ini
@Alternate Data Stream - 172 bytes -> C:\ProgramData\TEMP:AAA85DED


:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\3I6H3ozD.exe"=-
"D:\6J3r.exe"=-
"D:\3I6H3ozD.exe"=-
"D:\6J3r.exe"=-

:files
D:\3I6H3ozD.exe
D:\6J3r.exe

:Commands
[emptytemp]

*  Puis clique sur le bouton Correction en haut de la fenêtre.  
 * Laisse le programme travailler, le PC va redémarrer.  

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).   
sauvegarde-le sur ton Bureau et poste-le après redémarrage.  

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles  
Regarde suivant la date : 04032010_xxxxxxxx.log  

A+

lusky16 · Answer

très bien, je poste sa de suite

lusky16 · Answer

combofix désinstallé, voila le rapport otl : 

http://www.cijoint.fr/cj201004/cijP5tmi76.txt 
Écran bleu, Geek malheureux.

verni29 · Answer

Re, 

Au juste, as-tu toujours ce message que tu indiquais ?

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers. 

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

lusky16 · Answer

re,

je te fais ca ! a toute

ps : le message d'erreur n'apparait plus !! ( après un redémarrage )

lusky16 · Answer

voila le rapport combofix :

http://www.cijoint.fr/cj201004/cijF3H2Qri.txt

verni29 · Answer

lusky16, 

Fais attention à ce que tu installes sur le PC !

1/ Tu as essayé, installé bon nombre d'antivirus.
Je vois des traces d'avast, norton, kaspersky.

Désinstalle liveupdate dans le panneau de configuration ( programmes et fonctionnalités )

Utilise les outils suivants pour supprimer les traces restantes :

ftp://ftp.symantec.com/public/francais/removal_tools/Norton_Removal_Tool.exe
http://files.avast.com/files/eng/aswclear5.exe


2/ Il y a aussi sur le PC trois antispywares, AVG, spybotS&D et Windows Defender.
Deux de trop.
Tu devrais garder Windows Defender et désinstaller les deux autres.

3/ Relance OTL 

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL

:Files
c:\programdata\Kaspersky Lab
c:\programdata\Kaspersky Lab Setup Files
c:\programdata\Alwil Software
c:\programdata\Lavasoft
c:\program files\Lavasoft
c:\users\Acer\AppData\Roaming\Symantec
c:\users\Acer\AppData\Local\Symantec_Corporation
c:\program files\Symantec
c:\program files\Alwil Software
c:\program files\Common Files\Symantec Shared
c:\programdata\Symantec
c:\users\Acer\AppData\Roaming\SUPERAntiSpyware.com

*  Puis clique sur le bouton Correction en haut de la fenêtre.  
 * Laisse le programme travailler.  

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).   
sauvegarde-le sur ton Bureau et poste-le.  

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles  
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log  

4/ Lance malwarebytes.

Mets le à jour ( onglet mise à jour ) puis lance un examen complet.

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. 
# Clique sur lancer l'examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

A+

lusky16 · Answer

salut, je ne pourrais pas faire cette manip tout de suite car je suis parti en vacances une semaine, mais sans mon ordi.

merci encore de ton aide

a+

lusky16 · Answer

je rentre tout juste de vacances, je fais la manip de suite et je t'informe des logs etc ...

lusky16 · Answer

j'ai bien téléchargé les 2 outils et les ai exécuté comme il faut. tout s'est bien passé.

voici le rapport otl : http://www.cijoint.fr/cj201004/cijIW0tFBY.txt

l'analyse Mbam est en cours.

lusky16 · Answer

voila enfin l'analyse mbam achevée : 

http://www.cijoint.fr/cj201004/cij9uP0evE.txt

après nettoyage :

http://www.cijoint.fr/cj201004/cijCPY5cJL.txt

verni29 · Answer

OK, 

Relance OTL. Clique sur Analyse rapide et poste le rapport.

----------------------------------------------------------------------

Fais un scan en ligne. 
Suis le tuto : https://forum.pcastuces.com/default.asp 

Poste également le rapport. 

A+

lusky16 · Answer

voila le rapport bitdefender : http://www.cijoint.fr/cj201004/cij0ms4l0X.txt

et le rapport otl : http://www.cijoint.fr/cj201004/cijm0JiHZ7.txt

verni29 · Answer

Re, 

C'est presque bon. un dernière chose à vérifier.

Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/

# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :

C:\Windows	ellei34.sys
# Tu cliques ensuite sur envoyer le fichier.
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

---------------------------------------------------------------------

Il est important de garder les logiciels à jour et principalement Java et Adobe qui sont de plus en plus exploités pour des infections via les pages web. 

1/ Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC. 
https://get2.adobe.com/fr/reader/otherversions/ 

2/ Télécharge JavaRa de PaulMcLain et Fred De Vries. 
https://javara.fr.malavida.com/ 

    * Click droit sur l'archive JavaRa.zip et extraire sur le bureau. 
    *  Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer 
    * Choisis la langue ( français ) 

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java. 

- Mise à jour :

    * clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe . 
    * Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC. 
    * Si oui, clique sur Installer puis suis les invites. 

Note : Si  tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun  ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp 

- Suppression des anciennes versions :

    * Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions 
    * Suis les invites. 
    * Il te sera précisé de la suppression les versions trouvées et supprimées 

Un rapport sera crée. Poste-le. 

A+

lusky16 · Answer

merci beaucoup, je fais cela,   


problème avec le site virus total :   
2 secondes après avoir envoyé le fichier :   
" 0 bytes size received / Se ha recibido un archivo vacio "

rapport javara : http://www.cijoint.fr/cj201004/cijutUFBdw.txt

verni29 · Answer

Re,  

On termine. 

Supprime le fichier : C:\Windows	ellei34.sys 
Reste d'infections. 

--------------------------------------------------------------------- 

1/ Enlève les outils utilisés. 

ouvre OTL et clique sur Purge Outils. 
Vérifie que ComboFix a bien été supprimé ainsi que le dossier C:\Qoobox. 

2/ Tu vas utiliser CCleaner.   
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner   

utilise les fonctions nettoyeur et registre.   

3/ Il est préférable maintenant que ton PC est propre de nettoyer la restauration système  et de créer un point propre pour une utilisation ultérieure.  

Les points de restauration : 

-  Panneau de configuration --> Système --> Restauration du système   

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- >  valider -- > cocher )  
Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.  
Accepte.  

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système  

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :  
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système  
Choisis "Créer un point de restauration". Suis les invites.  

-----------------------------------------------------------------------------------------  

Un peu de lecture : projet antimalwares : https://www.malekal.com/projet-antimalware-2/  

----------------------------------------------------------------------------------------  

peux-tu mettre le sujet en résolu ? merci. 

En te souhaitant bonne lecture et bon surf.  

Salut.  
Allez jusqu'au bout de la procédure de désinfection.

lusky16 · Answer

merci beaucoup de ton aide

bonne chance a toi pour la suite des autres problème, continue comme ca ne change pas

merci encore

salut

bagle/beagle

25 réponses

Votre réponse

Discussions similaires

Newsletters