Sujet Précédent Sujet Suivant

Worm bagle

Résolu/Fermé
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 - 16 févr. 2007 à 10:34
 Utilisateur anonyme - 24 févr. 2007 à 11:05
worm.bagle hj ; worm.bagle.hz ; worm.bagle.hw ???

Bonjour,

Mon PC est apparament infecté par Worm-Bagle.
Symptomes: plus d'antivirus, impossible d'en installer un, Spybot est en rade et impossible à réinstaller.

Je n'arrive pas à démarrer en mode sans echec... ( ecran bleu )

Voici le rapport Hijack :
Logfile of HijackThis v1.99.1
Scan saved at 10:19:36, on 16/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\DELVILLE\Local Settings\Temporary Internet Files\Content.IE5\FM18XJ6D\FxBeagle[1].exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\DELVILLE\Local Settings\Temporary Internet Files\Content.IE5\EVJDYAQO\HijackThis[1].exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE" /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" /SYNC
O4 - HKLM\..\Run: [SiSPower] "Rundll32.exe" SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4836/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe



J'ai essayer plein de chose pour la suppression mais rien ni fait.

aidé moi s'il vous plait, merci d'avance .

30 réponses

  • 1
  • 2
Réponse 1 / 30
Utilisateur anonyme
16 févr. 2007 à 10:55
coches + fixer

O4 - HKLM\..\Run: [MSPY2002] "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" /SYNC
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/default.aspx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4836/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

tu vas avoir besoin de faire un scan en ligne...si tu peux ?
http://support.f-secure.fi/enu/home/ols3.shtml
0
Réponse 2 / 30
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 2
16 févr. 2007 à 11:41
bonjour philo2100

je ne comprend pas "coches + fixer " est-il possible de m'expliquer la procedure a suivre, je suis pas tres fort en informatique.

Merci d'avanve.
0
Réponse 3 / 30
Utilisateur anonyme
16 févr. 2007 à 11:48
ben, oui, tu vois le problème ....
https://leblogdeclaude.blogspot.com/2006/11/informatique-petite-mise-au-point-sur.html
-------------------------------------------------------------
Avant toute chose....
https://leblogdeclaude.blogspot.com/2006/10/informatique-sauvegarde-de-la-base-de.html
Ensuite,

fais un scan seul avec Hijackthis
ensuite tu coches les cases des lignes indiquées avant.
Ensuite tu fais fixer.

0
Réponse 4 / 30
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 2
16 févr. 2007 à 12:08
me revoila philo2100

apres avoir fait ce que vous m'avez dit, l'ordi a ete redemarrer et j'ai un icone dans la barres des taches qui me dit :

" vous etes peut etre victime d'une contrefacon de logiciel "

alors que non ! !

Ordinateur acheter neuf.

Que dois je faire maintenant ?

J'attends impatiament votre réponse.

Encore merci de m'aider
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 30
Utilisateur anonyme
16 févr. 2007 à 12:35
pas de panique c'est une alerte xp, avec le fameux , devrais-je dire "fumeux" Windows Genuine Advantage Validation Tool.
Je vais m'en occuper après.
d'abord ton Hijackthis est trés mal installé.
-----------------------------------------------------------------------
C:\Documents and Settings\DELVILLE\Local Settings\Temporary Internet Files\Content.IE5\EVJDYAQO\HijackThis[1].exe
---------------------------------------------------------------
Lançes le (Hijackthis)
cherches le bouton 'ouvrir la section outils"
cherches avec la barre verticale (descends-là) désinstaller Hijackthis.
Désinstalles-le et renomes-le !
Ensuite, regardes ici:
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
------------------------------------------------------------------
ensuite:
download ceci:
https://www.octeam.fr/telechargement/download/58/chk,09943fcc5e9bb2dac3971e186ace3c46.html
exécutes-le
-----------------------------------------------------------------
Refaits un log Hijackthis

0
Réponse 6 / 30
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 2
16 févr. 2007 à 12:45
ola j'ai du aller trop vite , j'ai installer le fameux Windows Genuine Advantage Validation Tool.


expliquez moi si je continu le proceder que vous m'avez dit ou dois je supprimer dans ajout suppression de programme " Windows Genuine Advantage Validation Tool.


désolé
0
Réponse 7 / 30
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 2
16 févr. 2007 à 12:58
Lançes le (Hijackthis)
cherches le bouton 'ouvrir la section outils" ? ?

je ne trouve pas le bouton ouvrir la section outils, je suis vraiment désolé, mais comme je vous l'ai dit je suis pas fortiche in ordi .

Je suis vraient désolé.
0
Réponse 8 / 30
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 2
16 févr. 2007 à 13:30
Philo2100

je pense avoir fait ce que vous me disiez ( du moins, je l'espere )

voila le nouveau rapport :

J'ai la version en francais cette fois ci ! !

Logfile of HijackThis v1.99.1
Scan saved at 13:25:26, on 16/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE" /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SiSPower] "Rundll32.exe" SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [RemoveWGA] C:\Documents and Settings\DELVILLE\Local Settings\Temporary Internet Files\Content.IE5\ZR36LMKL\RemoveWGA.exe -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O15 - Trusted Zone: http://toolbar.imageshack.us
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Merci beaucoup de vos reponses.
0
Réponse 9 / 30
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 2
16 févr. 2007 à 13:45
philo2100,

merci pour vos réponse, j'attend la suite mais pour le moment je ne peux plus etre en ligne, j'ai des imperatifs et je dois m'en aller.

J'espere avoir la suite de mon probleme ce soir.

Désolé encore et merci beaucoup.

Manu 2531.
0
Réponse 10 / 30
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
16 févr. 2007 à 14:58
Bonjour manu et philo.

un outil (espagnol) très bien adapté :
Ouvre ce lien :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

tout en bas de cette page tu trouveras un outil à telecharger,
clique sur escargar Elibagla 10.09

installe ce fichier sur le bureau (il va te demander enregistrer ou exécuter, tu choisis enregistrer et, dans la fenêtre, tu cluqes, à gauche, sur bureau).
Va sur ton bureau et double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt

Remets aussi un log HijackThis.
Le traitement n'est pas terminé, mais l'outil devrait avoir éliminé Bagle

Bonne suite à tous les 2.
0
Réponse 11 / 30
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 2
16 févr. 2007 à 18:22
bonjour lyonnaire92

tout d'abord merci de votre aide.

Voila le log :


Fri Feb 16 18:07:45 2007
EliBagle v10.14 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\DELVILLE\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\DELVILLE\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Feb 16 18:07:59 2007
EliBagle v10.14 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0115094.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0115095.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0115105.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0115106.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116105.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116106.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116114.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116115.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116274.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116275.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116307.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116308.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116336.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116339.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0117332.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0117333.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0117338.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0117339.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP687\A0117351.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP687\A0117353.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP688\A0117379.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP688\A0117381.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117402.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117404.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117412.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117415.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117421.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117431.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117522.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117523.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117619.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117620.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117655.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117656.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117663.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117665.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117687.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117688.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117789.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117791.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117818.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117821.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117828.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117829.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117835.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117837.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117847.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117848.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117855.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117856.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117857.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117858.EXE --> Eliminado Bagle.dldr


et maintenant l'autre log :


Logfile of HijackThis v1.99.1
Scan saved at 18:15:36, on 16/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\DELVILLE\Bureau\EliBaglA.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE" /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SiSPower] "Rundll32.exe" SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [RemoveWGA] C:\Documents and Settings\DELVILLE\Local Settings\Temporary Internet Files\Content.IE5\ZR36LMKL\RemoveWGA.exe -startup
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\DELVILLE\Bureau\EliBaglA.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O15 - Trusted Zone: http://toolbar.imageshack.us
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

ca doit faire pas mal de chose a analyser, mais je vous remercie énormement de votre aide.

Manu2531
0
Réponse 12 / 30
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 2
16 févr. 2007 à 18:32
lyonnaise92

apres avoir effectue ce que vous m'avez demander, j'ai refais un scan et voila le resultat :


Fri Feb 16 18:28:45 2007
EliBagle v10.14 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Fri Feb 16 18:28:46 2007
EliBagle v10.14 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\


j'attend le reste pour savoir ce qu'il faut faire.

Encore merci
0
Réponse 13 / 30
Utilisateur anonyme
16 févr. 2007 à 19:08
salut Lyonnais92,
ça m'a l'air bien efficace----> escargar Elibagla 10.09
je m'en vais coller ça dans un lien !
------------------------------------------------------------------------------
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [RemoveWGA] C:\Documents and Settings\DELVILLE\Local Settings\Temporary Internet Files\Content.IE5\ZR36LMKL\RemoveWGA.exe -startup
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\DELVILLE\Bureau\EliBaglA.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

--------------------------------------------------------------
Démarrer/Exécuter/ tape cmd puis appuyer sur Enter
une fenêtre noire va s'ouvrir.

tape : ( je conseille le copier/coller)

sc config UserAccess7 start= disabled -- > puis appuyer [Enter]
sc stop UserAccess7 -- > puis appuyer [Enter]
sc delete UserAccess7 -- > puis appuyer [Enter]





0
Réponse 14 / 30
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 2
16 févr. 2007 à 19:14
bonsoir philo2100

j'ai fais le copier coller de ce que vous demandiez

je vais voir maintenant pour l'installation de avast

Merci énorement a vous philo2100 et lyonnaise92

en esperant qsue tous soit résolu
0
Réponse 15 / 30
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 2
16 févr. 2007 à 19:23
rebonsoir,

j'ai enfinréussi mettre avast sur mon pc

a prioi ca fonctionne, je fais un scan avec avast vos ees des bets de l'informatique;

merci tout plein t vous tiens auourant i cela foncionne correctemen.

Me faut il un logiciel pour les pub intepestives tls que system octor, win... je sais plus quoi,

merci du renseignement.
0
Réponse 16 / 30
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 2
16 févr. 2007 à 19:37
désolé je ne me suis pas relu et je constate qu'il y a pas mal de fautes ou de lettres oubliées.

avec mes excuses.

Manu 2531
0
Réponse 17 / 30
Utilisateur anonyme
16 févr. 2007 à 19:41
re,
lit ceci pour infos...

https://leblogdeclaude.blogspot.com/2006/10/informatique-comment-se-protger-si-on.html
0
Réponse 18 / 30
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
16 févr. 2007 à 21:10
Bonsoir Manu,

ta restauration système est infectée.

Il faut détruire les points de restauration actuels et prendre un point de restauration propre.

Ouvre ce lien et fais ce qui est dit pour désactiver puis réactiver ta restauration système.

@+
0
Réponse 19 / 30
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 2
16 févr. 2007 à 21:27
bonsoir Lyonnaise92

Concernant ma restauration de systeme infectée, il n'y a pas de lien a suivre.

J'attend la procedure.

Merci beaucoup
0
Réponse 20 / 30
manu2531 Messages postés 68 Date d'inscription vendredi 20 janvier 2006 Statut Membre Dernière intervention 4 janvier 2009 2
16 févr. 2007 à 21:41
C'est encore moi,


fait-il simplement creer un point de restauration systeme ou faut il proceder autrement ?

merci
0

Discussions similaires

Virus Worm.Win32.Autorun.mjd
mehdoux -
anthony5151 -

17 réponses
comment se debarasser de VBS malware-gen
alquint -
Malekal_morte- -

12 réponses
Help ! Worm:Win32/Autorun.gen!inf et Worm:Win32/Wecykler.A
Guizro -
Guizro -

6 réponses
worm gamarue
martine03 -
billmaxime -

31 réponses
Virus.Worm.VBS : Clef USB infectée (suite)
Trombone -
Malekal_morte- -

8 réponses