Virus Bagle ? WinXP
Alexama
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
J'ai récemment contracté un virus, je pense qu'il s'agit de Bagle au vu des symptomes :
- coupure de connexion internet
- affichage d'un message 'setupapi.dll' n'est pas une image valide (ce n'est pas la seule .dll, au moins 6 y sont passées)
- ouverture d'IExplore intempestive, et ouverture de fenêtres en relation avec les derniers mots-clés recherchés (ou pas, une fenêtre interdite au - de 18 est apparue..c'est mon PC de boulot :S )
J'ai passé mon anti-virus dessus et il n'a rien trouvé.
Je me suis un peu renseigné et j'ai commencé par réparer mon SafeBoot. Puis j'ai lancé un rapport FindyKill. On m'a conseillé de venir vous voir donc le voici :
############################## | FindyKill V5.038 |
# User : XXXXXX () # 1F7674J
# Update on 15/03/2010 by El Desaparecido
# Start at: 15:07:37 | 10/04/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# Intel(R) Core(TM)2 Duo CPU T9400 @ 2.53GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ]
# C:\ # Disque fixe local # 232,75 Go (107,54 Go free) # NTFS
# D:\ # Disque CD-ROM # 2,34 Go (0 Mo free) [SONY_DVD_RECORDER_VOLUME] # UDF
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 149,05 Go (13,28 Go free) [WD Passport] # NTFS
# H:\ # Connexion réseau
# I:\ # Connexion réseau
# O:\ # Connexion réseau
# P:\ # Connexion réseau
# S:\ # Connexion réseau
# Y:\ # Connexion réseau
################## | Infected File |
C:\Documents and Settings\aamard\Local Settings\Temporary Internet Files\Content.IE5\4N6525CD\filelist[1].txt
################## | Registry |
################## | State |
# Showing of hidden files : OK
# Safe boot mode : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | End of Report # FindyKill V5.038 ! |
Que pensez-vous de ca ? Quelqu'un aurait-il la marche à suivre pour la suite ?
Merci beaucoup par avance, c'est assez important pour moi vu qu'il s'agit de mon laptop de travail !
Alexama
J'ai récemment contracté un virus, je pense qu'il s'agit de Bagle au vu des symptomes :
- coupure de connexion internet
- affichage d'un message 'setupapi.dll' n'est pas une image valide (ce n'est pas la seule .dll, au moins 6 y sont passées)
- ouverture d'IExplore intempestive, et ouverture de fenêtres en relation avec les derniers mots-clés recherchés (ou pas, une fenêtre interdite au - de 18 est apparue..c'est mon PC de boulot :S )
J'ai passé mon anti-virus dessus et il n'a rien trouvé.
Je me suis un peu renseigné et j'ai commencé par réparer mon SafeBoot. Puis j'ai lancé un rapport FindyKill. On m'a conseillé de venir vous voir donc le voici :
############################## | FindyKill V5.038 |
# User : XXXXXX () # 1F7674J
# Update on 15/03/2010 by El Desaparecido
# Start at: 15:07:37 | 10/04/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# Intel(R) Core(TM)2 Duo CPU T9400 @ 2.53GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ]
# C:\ # Disque fixe local # 232,75 Go (107,54 Go free) # NTFS
# D:\ # Disque CD-ROM # 2,34 Go (0 Mo free) [SONY_DVD_RECORDER_VOLUME] # UDF
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 149,05 Go (13,28 Go free) [WD Passport] # NTFS
# H:\ # Connexion réseau
# I:\ # Connexion réseau
# O:\ # Connexion réseau
# P:\ # Connexion réseau
# S:\ # Connexion réseau
# Y:\ # Connexion réseau
################## | Infected File |
C:\Documents and Settings\aamard\Local Settings\Temporary Internet Files\Content.IE5\4N6525CD\filelist[1].txt
################## | Registry |
################## | State |
# Showing of hidden files : OK
# Safe boot mode : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | End of Report # FindyKill V5.038 ! |
Que pensez-vous de ca ? Quelqu'un aurait-il la marche à suivre pour la suite ?
Merci beaucoup par avance, c'est assez important pour moi vu qu'il s'agit de mon laptop de travail !
Alexama
A voir également:
- Virus Bagle ? WinXP
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Virus facebook demande d'amis - Accueil - Facebook
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
26 réponses
Oui c'est mon serveur de boulot..ca m'ennuierait un peu de devoir l'enlever ;-)
Voici le rapport, il a trouvé un trojan ! (je suis presque soulagé..!)
Est-ce que ca peut venir de la selon toi ?
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3980
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12/04/2010 23:25:43
mbam-log-2010-04-12 (23-25-43).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 262384
Temps écoulé: 1 heure(s), 18 minute(s), 36 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
Voici le rapport, il a trouvé un trojan ! (je suis presque soulagé..!)
Est-ce que ca peut venir de la selon toi ?
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3980
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12/04/2010 23:25:43
mbam-log-2010-04-12 (23-25-43).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 262384
Temps écoulé: 1 heure(s), 18 minute(s), 36 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
bonjour,
pour le moment et sur le rapport, je vois juste les lignes en O17, c'est pour cette raison que je te l'ai demandé :-)
donc on va les laisser.
relance MBAM, vide sa quarentaine, fais une mise à jour et lance un scan rapide du pc , poste moi le rapport
merci et @ + :-)
pour le moment et sur le rapport, je vois juste les lignes en O17, c'est pour cette raison que je te l'ai demandé :-)
donc on va les laisser.
relance MBAM, vide sa quarentaine, fais une mise à jour et lance un scan rapide du pc , poste moi le rapport
merci et @ + :-)
Bonjour ! :)
Je n'ai rien dans l'onglet Quarantaine, pourtant j'ai bien demandé la mise en quarantaine + suppression à la fin du scan.
J'ai tt de même repassé un scan rapide, voila le résultat :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3980
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
13/04/2010 09:47:46
mbam-log-2010-04-13 (09-47-46).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 117745
Temps écoulé: 4 minute(s), 38 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Merci ! :)
Je n'ai rien dans l'onglet Quarantaine, pourtant j'ai bien demandé la mise en quarantaine + suppression à la fin du scan.
J'ai tt de même repassé un scan rapide, voila le résultat :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3980
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
13/04/2010 09:47:46
mbam-log-2010-04-13 (09-47-46).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 117745
Temps écoulé: 4 minute(s), 38 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Merci ! :)
je pense que ton pc est propre, à toi de me dire si tu as toujours des fenetres qui s'affichent toutes seules avant de finaliser la désinfection :-)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je n'ai plus de symptômes...j'imagine que ca veut dire qu'il est clean..! :)
Vraiment un grand merci Electricien, c'était vraiment sympa de me filer ce coup de main ! Les pop-up - de 18 au bureau ca le faisait très moyen ..!
Est-ce qu'il reste des choses à faire ou est-ce que je peux me considérer comme tranquille ?
Je me demande vraiment toujours d'où j'ai attrapé ce machin..je ne vais pourtant sur aucun site bizarre, ni n'ouvre d'emails que je ne connais pas, étrange..
Vraiment un grand merci Electricien, c'était vraiment sympa de me filer ce coup de main ! Les pop-up - de 18 au bureau ca le faisait très moyen ..!
Est-ce qu'il reste des choses à faire ou est-ce que je peux me considérer comme tranquille ?
Je me demande vraiment toujours d'où j'ai attrapé ce machin..je ne vais pourtant sur aucun site bizarre, ni n'ouvre d'emails que je ne connais pas, étrange..
je ne sais pas, il se peut qu'il soit installé avec un programme téléchargé, va savoire ....
pour en finir :
* Pour désinstaller les outils de désinfection qu'on a utilisés :
Telecharge ToolsCleaner2
--> http://pc-system.fr/
-Une fois téléchargé, installe-le et lance-le
-Clique sur Recherche et laisse le scan se terminer
-Clique sur SUPPRESSION
-Clique sur Quitter pour que le rapport puisse se créer
-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt
Note : si certains outils reste sur ton pc, il faut les supprimer manuellement
* Désactivation, puis Réactivation de la restauration système après désinfection :
Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
Pour XP : https://www.commentcamarche.net/faq/5097-virus-system-volume-information
fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat
@++
pour en finir :
* Pour désinstaller les outils de désinfection qu'on a utilisés :
Telecharge ToolsCleaner2
--> http://pc-system.fr/
-Une fois téléchargé, installe-le et lance-le
-Clique sur Recherche et laisse le scan se terminer
-Clique sur SUPPRESSION
-Clique sur Quitter pour que le rapport puisse se créer
-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt
Note : si certains outils reste sur ton pc, il faut les supprimer manuellement
* Désactivation, puis Réactivation de la restauration système après désinfection :
Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
Pour XP : https://www.commentcamarche.net/faq/5097-virus-system-volume-information
fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat
@++
