menace détectée :win32/Bagle.gen.zip worm Fermé

Question

Bonjour, 
depuis quelques semaines mon ordi rame étrangement. Microsoft Security Essentials ne détectant aucune menace. J'ai fais un scan en ligne avec eset qui a détecté une menace:
"win32/Bagle.gen.zip worm"

Cette menace est-elle résolue????

Par ailleurs, lorsque j'ouvre internet des pages pour un casino s'allument. Comment faire pour éviter cela.

Merci




Configuration: Windows XP / Firefox 13.0.1

cabrier · Answer

Bonjour Thierry,

Bagle est un ver informatique qui se propage par les logiciels P2P et les faux cracks.

Utilise ce logiciel de désinfection généraliste :

*  Sous Vista, désactive l'UAC le temps de la désinfection.
*  Télécharge MalwareByte's Anti-Malware  ici
*  Installe puis lance le programme.
*  Tu as un tutoriel à ta disposition pour l'installer et l'utiliser correctement tuto
*  /!\Utilisateur de Vista et Windows 7 : Clic droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
*  Fais les mises à jour (Clique sur l'onglet "Mises à jour" puis Recherche de mises à jour).
*  Clique sur "Exécuter un examen complet" puis sur "Rechercher" et sélectionne tous les disques durs.
*  Il se pourrait que certains fichiers demandent à être supprimés au redémarrage du PC... Fais-le en cliquant sur "oui" à la question posée
*  Une fois le scan terminé, clique sur "Afficher résultats".
*  Vérifie que tout soit bien coché puis clique sur "Supprimer la sélection".
*  (Si un message demande de redémarrer le PC pour terminer la suppression, accepte).
*  Un rapport sera généré, enregistre-le dans un endroit approprié pour le retrouver afin de faire une analyse personnelle et héberge-le sur ce site
*  Envoie-moi le lien fourni par l'hébergeur dans ta prochaine réponse sur le forum.

A+

byDeeh · Answer

bonjour,
Si j'ai bien compris tu as deux antivirus , ce qui va créer des confilts pouvant par exemple bloquer ta connection à internet, donc choisis-en un (je te conseille eset) , et fais un scan avec ZHPDiag (lien dans beaucoup d'autres post) et post le rapport ici , une personne plus expérimenté que moi saura te l'analyser ;)

cabrier · Answer

byDeeh ---> non, il n'a pas installé 2 antivirus sur sa machine. Il a fait un scan en ligne !

thierry mignard · Answer

Merci à vous.
Je viens de lancer malwarebyte's.
L'analyse est en cours.
Je te tiens au courant
A+

byDeeh · Answer

oups mal lu :)

thierry mignard · Answer

Ca y est le rapport est terminé.
Je n'ai pas eu besoin de redémarrer l'ordi
voici le lien:*
https://pjjoint.malekal.com/files.php?read=20120704_s5k6h15r14p8
Ah...Si je viens de voir une fenêtre me demandant de redémarrer l'ordi.
J'envoie ce message d'abord.
A+

cabrier · Answer

Ok, continue avec ceci :

Utilise cet outil de désinfection spécifique aux logiciels publicitaires : 

* Télécharge sur ton bureau  AdwCleaner ( d'Xplode )]
* Lance le, clique sur [Recherche] puis patiente le temps du scan.
* Une fois le scan fini, un rapport s'ouvrira.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt
sauvegarde ce rapport sur ton bureau
* Héberge-le sur ce site
* Envoie-moi le lien fourni par l'hébergeur dans ta prochaine réponse sur le forum

thierry mignard · Answer

Ok, le scan est fait.

voici le lien :
https://pjjoint.malekal.com/files.php?read=20120704_d13r75j14s10

cabrier · Answer

Bien, tu peux relancer AdwCleaner mais cette fois en mode [Suppression] et poste moi le lien.

A+

thierry mignard · Answer

Question sur AdwCleaner:
est il nécessaire de faire "supression" après la recherche????
Je n'ai fais que "recherche"
Merci

cabrier · Answer

Thierry, tu avais encore pas mal de choses. Il serait bon d'aller voir un peu plus profond sur ta machine. Peux-tu utiliser ce logiciel de diagnostic, ça me permettra de t'aider pour virer ce qui peut rester : *Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau, /!\Il est très important de l'enregistrer sur le bureau / !\ *Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation /!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\ /!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\ * Clique sur la loupe pour « lancer le diagnostic » . * ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente ! * En cas de blocage sur la section O80, clique sur le tournevis pour le décocher. * Laisse l'outil travailler, il peut être assez long. * Le rapport s'enregistre sur ton bureau et dans le dossier où est installé ZHPDiag (en général C:\ZHP\). * Transmets moi le lien du fichier *Rappel des dépôts : cijoint ou pjjoint

cabrier · Answer

Thierry,

Avec Bagle, il faut absolument, en fin de désinfection, virer tous les points de restauration système et en créer un nouveau avec une machine propre.

Penses y !

cabrier · Answer

Thierry,

Je te laisse pour ce soir.

J'examinerai ton rapport ZHPDiag demain matin et te donnerai la marche à suivre pour terminer.

A+

thierry mignard · Answer

Bonjour cabrier,
je n'arrive pas à lancer ZHPDiag.exe en tant qu'administrateur.
Comment faire???
Merci

thierry mignard · Answer

J'ai lancé l'analyse mais pas en tant qu'administrateur.(en tant que "thierry"
voici le résultat:
https://pjjoint.malekal.com/files.php?read=ZHPDiag_20120705_e13c14p14l12h7
Que faire??

De plus tu m'as dit :"Avec Bagle, il faut absolument, en fin de désinfection, virer tous les points de restauration système et en créer un nouveau avec une machine propre."
Comment faire cela? merci

cabrier · Answer

Thierry,

Analyse incomplète !

* Télécharge Roguekiller (de Tigzy) sur le Bureau
* Quitte tous tes programmes en cours
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur le bouton (Scan)
* S'il demande pour supprimer un proxy, tape 1 (supprimer)
* Le scan terminé clique sur le bouton (Rapport)
* Le bloc note s'ouvre contenant le rapport
* Enregistre le sur ton bureau 
* Transmets moi le lien du fichier comme indiqué en préambule  "Dépôt de fichier"
* Rappel des dépôts : cijoint ou pjjoint
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois, ou renommer en winlogon.exe

A+

cabrier · Answer

Thierry,

Lorsque tu auras fait le scan avec Roguekiller, fais ceci :

1. Télécharge Winchk (d'Xplode) sur ton bureau 
http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/17-winchk
2. Double clique sur winchk.exe 
3. Clique sur le bouton Exécuter 
4. Patiente durant la création du rapport.. 
5. Celui-ci s'affiche à l'écran à la fin de l'analyse. Si rien n'apparaît, le rapport est présent à la racine de ton disque dur : C:\WinChk.txt 
* Transmets moi le lien du fichier comme indiqué en préambule  "Dépôt de fichier"
*Rappel des dépôts : cijoint ou pjjoint

A+

thierry mignard · Answer

Cabrier,
voici le lien pour Roguekiller:
https://pjjoint.malekal.com/files.php?read=20120705_f13o14b5y77
faut-il supprimer les 3 menaces trouvées???

voici le rapport winchk
https://pjjoint.malekal.com/files.php?id=20120705_t6g8k915k9

encore merci
A+

thierry mignard · Answer

Les 3 menaces trouvées sur roguekiller sont indiquées dans l'onglet registre. Après le scan faut-il cliquer sur "supression"????

cabrier · Answer

Non, surtout pas !
Laisse moi le soin d'examiner ce que Roguekiller a trouvé.

mais là j'ai un problème avec pjoint ! impossible d'accéder aux liens (peut être en maintenance ?)

Pourrais-tu me redonner ces liens après un nouveau dépôt sur cjoint (Roguekiller + winchk) ?

A+

cabrier · Answer

Thierry, bon, j'ai enfin récupéré tes rapports.

Pour winchk, tu as remarqué qu'il permettait de contrôler la validité de la version Windows installée. Ton précédent rapport me laissait un doute et il faut savoir que nos outils peuvent avoir de graves conséquences sur les fichiers système d'un windows illégal.
Pas de souci !

Oui tu peux relancer Roguekiller en mode [Suppression] mais ensuite :

Télécharge Reload_Tdsskiller 
* Choisis : lancer le nettoyage 
l'outil va automatiquement télécharger la dernière version puis TDSSKiller va s'ouvrir, clique sur "Start Scan"
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure-toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l'option cochée sur Skip 
Si Rootkit.Win32.ZAccess. est détecté règle sur "cure" en haut , et "delete" en bas
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

Copie/Colle son contenu dans ta prochaine réponse.

A+

thierry mignard · Answer

Voici les liens

Rapport:Rogue killer:
https://pjjoint.malekal.com/files.php?id=20120705_b10v7f10e11u15



Rapport winchK
https://pjjoint.malekal.com/files.php?id=20120705_i15i12r13y11z14
A+

cabrier · Answer

OK vas y pour TdssKiller ! 

A télécharger ici

Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

thierry mignard · Answer

Tdsskiller n'a rien trouver
Je suis surpris c'est hyper rapide

Merci cabrier
Je n'oublierai pas

cabrier · Answer

Thierry, ce n'était pas fini !

Dommage pour toi.

Menace détectée :win32/Bagle.gen.zip worm

25 réponses

Discussions similaires