[ver] Bagle.ie

Sylvie -  
philae83 Messages postés 12854 Statut Contributeur sécurité -
Bonjour
J'ai téléchargé un fichier avec emule (je sais c'est pas terrible) et je pense que ce fichier m'a amené le ver Bagle (version ie, selon l'analyse en ligne de kapersky). En fait mon antivirus me demandait sans cesse l'autorisation d'écriture dans la base de registres et mon navigateur internet, la sauvegarde de cookies alors que je ne naviguait plus. Ca m'a alerté et l'analyse en ligne avec Kapersky a détecté ça :
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~49.exe Infecté : Email-Worm.Win32.Bagle.ie

En parallèle j'avais un processus nommé ~4b.exe

J'avais pourtant scanné le fichier avec mon antivirus (Bitdefender) au préalable. Bref, j'ai eu beau essayer les utilitaires de scan et suppression en ligne, je n'y arrive pas. Celui de norton sur secuser.com ne le détecte même pas.
Je précise que ce petit ver a eu pour effet de supprimer des executables de programmes et notamment de mon antivirus, donc j'ai essayé aussi de suivre ce que j'avais trouvé sur ce post :
fichiers exe disparaissent
Mais sans effets..

Je suis sur un PC sous XP SP2. J'ai fait aussi un nettoyage avec Cleaner et pour l'instant c'est tout.
Quelqu'un pour m'aider ?
Configuration: Windows XP
Firefox 2.0.0.1

45 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection associée au ver Bagle.ie survient après téléchargement via eMule, avec des invites d'écriture dans la base de registres et des cookies, signalant une compromission du système Windows XP SP2.
Plusieurs outils et méthodes ont été employés, notamment analyses en ligne et antivirus locaux, mais certains ne détectaient pas le ver ou effaçaient des composants, nécessitant des solutions complémentaires.
Des rapports d'analyse varient, montrant des fichiers infectés effacés, des dossiers et clés remis en état, et des recommandations utilisant des outils externes comme Blacklight ou suites antivirus.
Une expérience ultérieure indique qu'un essai avec Microsoft Security Essentials a résolu le problème sans outils supplémentaires, tandis qu'un test ciblé a détecté des obstacles d'accès sur un fichier système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Bonsoir,

    * Télécharge Blacklight
    https://europe.f-secure.com/exclude/blacklight/index.shtml
    (de F-Secure)
    (le premier de la page)

    Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
    Double-clique blbeta.exe et accepte la licence;
    clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
    sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse.
    NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
    car des fichiers légitimes peuvent être présents, tel wbemtest.exe

    0
  2. Sylvie
     
    Oui, merci de ta réponse. Juste après avoir posté j'ai vu qu'il fallait commencer par faire ça... Je viens donc de lancer l'analyse.

    (Il y a tellement de posts et quand on recherche par google on ne trouve pas les plus pertinents de suite...)

    Par contre avec F-secure j'ai voulu utiliser leur outil de désinfection de bagle mais il plante dès le début...

    Je te tiens au courant
    0
  3. Sylvie
     
    Voilà le rapport :

    02/20/07 21:35:39 [Info]: BlackLight Engine 1.0.55 initialized
    02/20/07 21:35:39 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    02/20/07 21:35:40 [Note]: 7019 4
    02/20/07 21:35:40 [Note]: 7005 0
    02/20/07 21:35:44 [Note]: 7006 0
    02/20/07 21:35:44 [Note]: 7011 2692
    02/20/07 21:35:45 [Note]: 7026 0
    02/20/07 21:35:45 [Note]: 7026 0
    02/20/07 21:35:45 [Note]: 7024 3
    02/20/07 21:35:45 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
    02/20/07 21:36:17 [Note]: FSRAW library version 1.7.1021
    02/20/07 21:36:23 [Info]: Hidden file: c:\Documents and Settings\Propriétaire\Application Data\hidires\hidr.exe
    02/20/07 21:36:23 [Note]: 10002 2
    02/20/07 21:36:23 [Info]: Hidden file: c:\Documents and Settings\Propriétaire\Application Data\hidires\m_hook.sys
    02/20/07 21:36:23 [Note]: 10002 2
    02/20/07 21:36:24 [Note]: 10002 3
    02/20/07 21:36:24 [Note]: 10002 3
    02/20/07 21:36:24 [Note]: 10002 2
    02/20/07 21:36:24 [Note]: 10002 2
    02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
    02/20/07 21:38:19 [Note]: 10002 3
    02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
    02/20/07 21:38:19 [Note]: 10002 3
    02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png
    02/20/07 21:38:19 [Note]: 10002 3
    02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
    02/20/07 21:38:19 [Note]: 10002 3
    02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
    02/20/07 21:38:19 [Note]: 10002 3
    02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
    02/20/07 21:38:19 [Note]: 10002 3
    02/20/07 21:38:19 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
    02/20/07 21:38:19 [Note]: 10002 3
    02/20/07 21:38:19 [Note]: 10002 2
    02/20/07 21:38:19 [Note]: 10002 2
    02/20/07 21:41:39 [Info]: Hidden file: c:\WINDOWS\ime\shared\imlang.dll
    02/20/07 21:41:39 [Note]: 10002 3
    02/20/07 21:41:39 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\PADRS404.DLL
    02/20/07 21:41:39 [Note]: 10002 3
    02/20/07 21:41:39 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs804.dll
    02/20/07 21:41:39 [Note]: 10002 3
    02/20/07 21:41:39 [Note]: 10002 2
    02/20/07 21:41:39 [Note]: 10002 2
    02/20/07 21:42:10 [Info]: Hidden file: C:\WINDOWS\system32\wintems.exe
    02/20/07 21:42:10 [Note]: 10002 2
    02/20/07 21:42:10 [Info]: Hidden file: c:\WINDOWS\system32\hldrrr.exe
    02/20/07 21:42:10 [Note]: 10002 2
    02/20/07 21:43:50 [Note]: 2000 1012
    02/20/07 21:43:50 [Note]: 2000 1012
    02/20/07 21:43:50 [Note]: 2000 1012
    02/20/07 21:43:51 [Note]: 2000 1012

    C'est bizarre parce que le fichier hidr.exe je l'avais cherché justement suite à un post que j'avais parcourru mais je l'avais pas trouvé... hummm
    Merci de ton aide
    0
  4. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    tu vas faire ceci :

    Télécharge ELIBAGLA en bas de cette page
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
    Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
    Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\
    Et par la même occasion, précise si tu peux à nouveau démarrer en mode sans échec.

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Sylvie
     
    ok mais je connais pas un mot d'espagnol et je voudrais pas faire de betises :
    je clique sur le bouton "explorar" ? (pas "salir")
    et est-ce que je laisse la case du bas cochée ? "eliminar ficheros auto..."
    0
  7. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    salir = sortir

    donc tu cliques sur explorar
    0
    1. Sylvie
       
      voilà le rapport


      Tue Feb 20 22:08:52 2007
      EliBagle v10.16 (c)2007 S.G.H. / Satinfo S.L.
      ----------------------------------------------
      Lista de Acciones (por Acción Directa):
      C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
      C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
      C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
      C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)
      Por favor, envienos una muestra del fichero
      C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.16
      a "virus@satinfo.es". Gracias.
      C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Eliminado Bagle
      Eliminada Carpeta "%WinDir%\exefld"
      Restaurada Clave: "SafeBoot\Minimal y Network"

      Tue Feb 20 22:13:34 2007
      EliBagle v10.16 (c)2007 S.G.H. / Satinfo S.L.
      ----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando Unidad C:\


      et dans la fenetre il indique :
      wintems.exe.vir>bagle
      0
  8. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    OK,

    peux tu refaire un scan avec F SECURE BLACKLIGHT stp et poste le rapport
    0
  9. Sylvie
     
    02/20/07 22:45:37 [Info]: BlackLight Engine 1.0.55 initialized
    02/20/07 22:45:37 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    02/20/07 22:45:37 [Note]: 7019 4
    02/20/07 22:45:37 [Note]: 7005 0
    02/20/07 22:45:39 [Note]: 7006 0
    02/20/07 22:45:39 [Note]: 7011 2692
    02/20/07 22:45:40 [Note]: 7026 0
    02/20/07 22:45:40 [Note]: 7026 0
    02/20/07 22:45:40 [Note]: 7024 3
    02/20/07 22:45:40 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
    02/20/07 22:45:50 [Note]: FSRAW library version 1.7.1021
    02/20/07 22:45:53 [Note]: 10002 2
    02/20/07 22:45:53 [Note]: 10002 2
    02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
    02/20/07 22:47:30 [Note]: 10002 3
    02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
    02/20/07 22:47:30 [Note]: 10002 3
    02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png
    02/20/07 22:47:30 [Note]: 10002 3
    02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
    02/20/07 22:47:30 [Note]: 10002 3
    02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
    02/20/07 22:47:30 [Note]: 10002 3
    02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
    02/20/07 22:47:30 [Note]: 10002 3
    02/20/07 22:47:30 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
    02/20/07 22:47:30 [Note]: 10002 3
    02/20/07 22:47:30 [Note]: 10002 2
    02/20/07 22:47:30 [Note]: 10002 2
    02/20/07 22:50:12 [Info]: Hidden file: c:\WINDOWS\ime\shared\imlang.dll
    02/20/07 22:50:12 [Note]: 10002 3
    02/20/07 22:50:12 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\PADRS404.DLL
    02/20/07 22:50:12 [Note]: 10002 3
    02/20/07 22:50:12 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs804.dll
    02/20/07 22:50:12 [Note]: 10002 3
    02/20/07 22:50:12 [Note]: 10002 2
    02/20/07 22:50:12 [Note]: 10002 2
    02/20/07 22:52:15 [Note]: 2000 1012
    02/20/07 22:52:15 [Note]: 2000 1012
    02/20/07 22:52:15 [Note]: 2000 1012
    02/20/07 22:52:15 [Note]: 2000 1012
    02/20/07 22:52:15 [Note]: 7002 0
    02/20/07 22:52:15 [Note]: 7003 1
    0
  10. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    * télécharge AVG Anti-Spyware (ewido)

    https://www.avg.com/en-ww/free-antivirus-download

    * tu l'installes

    * lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

    puis

    Lance AVG Anti-Spyware

    Clique sur le bouton Analyse (de la barre d'outils)

    Puis sur l'onglet Paramètres,
    sous : "Comment réagir "clique sur Actions recommandées. Sélectionne Quarantaine.

    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

    A la fin du scan, choisis l'option 3

    "Appliquer toutes les actions " en bas.

    Clique sur "Enregistrer le rapport".

    Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    Poste le.

    et

    * Télécharge CCleaner.

    https://www.pcastuces.com/logitheque/ccleaner.htm

    Installe le dans un répertoire dédié.

    Décoche pendant l'installation

    --- les deux cases "Ajouter l'option ... "

    --- Contrôler les mises à jour

    --- Ajouter la Barre d'Outils Yahoo! CCleaner

    * Lance Ccleaner pour un nettoyage complet.

    et

    * Télécharge HijackThis et poste le rapport stp

    http://pchelpbordeaux.free.fr/logiciels.html
    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html
    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    0
  11. Sylvie
     
    ok merci de ton aide, mais à quoi ça va servir tout ces logiciels ? parce que ca m'enchante pas plus que ça d'installer plein de nouveau trucs...
    et j'ai déjà cleaner, j'ai fais un nettoyage avec et recherche des erreurs...etc
    et ils disaient quoi tous les rapports que je t'ai postés ?

    sinon je crois que je verrais demain
    merci quand même
    0
  12. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    tu es infecté par un sale truc, y a pas 50 solutions, ou alors faut formater.

    Soit tu procèdes comme on te le demande, soit....j'ai pas la solution.
    Désolée, je ne peux pas résoudre le problème pour toi.

    tu me tiendras au courant si tu continues ou non
    0
  13. sylvie
     
    Merci mais je cherchais pas à te vexer. C'est juste que je voyais que tu faisais un copier-coller de tes réponses à chaque fois que le problème semble identique et comme tu me demandais des tests mais que tu ne me disais pas pas ce qu'ils donnaient je me posais des questions.

    Bref, j'ai fini par tenter une restauration du système et il semble que cela ait fonctionné. Au lancement suivant elibagla s'est mis en route avant même l'affichage du bureau. Il n'a rien trouvé. En suite l'ordi était lent mis après plusieurs redémarrage et un scan sur kapersky il semble que ca soit ok.

    Je vais continuer le ménage, histoire de faire du vide et je te remercie quand même de ton aide.
    0
  14. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    si tu penses que tout est réglé, c'est très bien pour toi.
    On ne s'amuse certes pas à écrire à chaque fois que le même problème se pose, les mêmes manips, il est clair qu'on utilise des copier coller, seulement malheureusement, tout ne fonctionne pas tjs de la même manière d'une infection à une autre, et d'un pc à un autre.

    0
  15. abbyl
     
    Bonjour ,

    J'ai le meme probleme...
    Avec W32 bagle ht, ie, aa.
    Je vais suivre ta procédure mais pourrais tu me guider philae 83?
    Merci.

    Je te mets le rapport dans un autre post.
    0
    1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
       
      Bonsoir abbyl

      oui bien sûr
      tu es sûre que c'est bagle ?

      il faut commencer par ceci :

      Télécharge ELIBAGLA en bas de cette page

      http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
      Lance-le, de préférence en mode sans échec** si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
      Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\
      Et par la même occasion, précise si tu peux à nouveau démarrer en mode sans échec.

      **Ne pas rebooter en passant par msconfig.

      0
      1. abbyl > philae83 Messages postés 12854 Statut Contributeur sécurité
         
        Mode sans echec c'est F8 au demarrage?
        rebooter par msconfig , je ne connaissais pas...

        Oui je suis sur que c'ets bagle mon antivirus a deja detecter le wintems.exe
        0
  16. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Mode sans echec c'est F8 au demarrage?

    OUI
    rebooter par msconfig , je ne connaissais pas.

    alors tant mieux
    aide pour MSE

    http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924
    0
  17. abbyl
     
    Impossible de demarrer en mode sans echec...
    Je lance en mode normal?
    0
  18. abbyl
     
    Une autre question ce vers se propage t'il sur des pocket PC ou ssmart phone sous Windows mobile?
    Si je formate mon disque juste la partition principale, y a til un risque que je le recupere via la partition secondaire?
    0
  19. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    oui fait le en mode normal
    
    Une autre question ce vers se propage t'il sur des pocket PC ou ssmart phone sous Windows mobile?
    Si je formate mon disque juste la partition principale, y a til un risque que je le recupere via la partition secondaire?


    aucune idée, mais je pourrais me renseigner
    0
    1. abbyl
       
      Oui je veux bien que tu te renseignes parce qu'au pire si on y arrive pas je suis pret a tout formater sauf si cett bete doit revenir.

      Et pour mon tel ca m'emm****derait profondement...
      0
      1. philae83 Messages postés 12854 Statut Contributeur sécurité 206 > abbyl
         
        ok, mais attend de voir, en principe on devrait s'en sortit
        0
  20. abbyl
     
    Ci joint le rapport du scan du logiciel espagnol en mode normal:

    C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.23
    a "virus@satinfo.es". Gracias.
    C:\DOCUMENTS AND SETTINGS\GG-YAN\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle
    C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Eliminado Bagle
    Eliminada Carpeta "%WinDir%\exefld"
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Mon Mar 05 22:57:31 2007
    EliBagle v10.23 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    0
  21. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    si c'était pas naturel, je ne serais pas sur les forums d'aide :)

    peux tu faire ceci

    * Télécharge Blacklight
    https://europe.f-secure.com/exclude/blacklight/index.shtml
    (de F-Secure)
    (le premier de la page)

    Enregistre le sur ton Bureau.
    Double-clique blbeta.exe
    Clique sur "I ACCEPT" .
    clique Scan puis Next<*gras>

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
    sur ton Bureau, nommé <gras>fsbl.xxxxxxx.log
    (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse.
    NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
    car des fichiers légitimes peuvent être présents, tel wbemtest.exe
    0
  • 1
  • 2
  • 3