Infecté par le virus BAGLE

esmi85 Messages postés 30 Statut Membre -  
 afideg -
Je suis infecté par le virus Bagle.
J'ia telechargé le fichier suivant Elibagla.exe et le rapport final m'a indiqué que j'etais infecté par :

Wintems.exe.Vir>Bagle.

Quelle procédure je dois suivre pour m'en debarasser ?

Merci d'avance por votre aide.
Configuration: Windows XP
Internet Explorer 7.0

61 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Infection par le virus Bagle et détection de Wintems.exe.Vir>Bagle, avec une demande de procédure fiable pour s'en débarrasser et éviter la propagation au système et aux données. Plusieurs répondants recommandent d'exécuter un scan en ligne avec Kaspersky, en activant les contrôles ActiveX, puis d’analyser le poste et de copier le rapport final, et si la licence est périmée, recommencer l’opération. D'autres conseils portent sur la désactivation puis la réactivation de la restauration système et sur la vérification des symptômes comme les pop-ups ou la désactivation d'Avast. Un rapport technique évoque des traces telles que des processus ou fichiers cachés (par exemple hidr.exe et HIDR.EXE.VIR) et souligne l’intérêt d’un contrôle complet du système pour éviter les résidus.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Bonjour,

    Bon tu vas télécharger hijackthis (de malekal) http://www.infos-du-net.com/telecharger/HijackThis,0301-454.html

    Tu l'installe dans un dossier dédié

    Ensuite tu le renomme en "Scanner.exe"

    Puis tu l'execute et tu clique sur "Do a system scan and save a logfile" Et tu copie-colle le rapport ici
    0
  2. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    bonsoir comment as tu procedé avec elibagla.exe?

    Va sur ce site, et telecharge la dernier verion ici
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp

    tout en bas de cette page tu trouveras un outil
    à telecharger,
    clique surescargar Elibagla 10.25
    installe ce fichier sur le bureau.
    ensuite double-clic sur Elibagla.exe
    >laisse la case
    "eliminar ficheros automaticamente" coché
    >clique sur"explorar"
    >laisse-le travailler
    >poste le rapport final qui sera
    dans c:\infosat.txt

    a+++
    0
  3. esmi85 Messages postés 30 Statut Membre
     
    Voila le message hijackthis:
    Logfile of HijackThis v1.99.1
    Scan saved at 20:56:51, on 08/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\esmi\Bureau\Scanner.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
    O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
    O4 - HKLM\..\Run: [adiras] adiras.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\esmi\Bureau\EliBaglA.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
    O4 - Startup: PowerReg Scheduler.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

    Merci de vos reponses
    0
  4. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Bon on va vraiment voir si c'est bagle.

    Télécharger Blacklight (F-Secure) : https://www.f-secure.com/en

    Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

    Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. esmi85 Messages postés 30 Statut Membre
     
    J'ai suivi votre procedure et voila le rapport:

    03/08/07 21:15:03 [Info]: BlackLight Engine 1.0.55 initialized
    03/08/07 21:15:03 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    03/08/07 21:15:03 [Note]: 7019 4
    03/08/07 21:15:03 [Note]: 7005 0
    03/08/07 21:15:08 [Note]: 7006 0
    03/08/07 21:15:08 [Note]: 7011 1336
    03/08/07 21:15:09 [Note]: 7026 0
    03/08/07 21:15:09 [Note]: 7026 0
    03/08/07 21:15:09 [Note]: 7024 3
    03/08/07 21:15:09 [Info]: Hidden process: C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
    03/08/07 21:15:18 [Note]: FSRAW library version 1.7.1021
    03/08/07 21:15:22 [Info]: Hidden file: C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
    03/08/07 21:15:22 [Note]: 10002 2
    03/08/07 21:15:22 [Info]: Hidden file: c:\Documents and Settings\esmi\Application Data\hidires\m_hook.sys
    03/08/07 21:15:22 [Note]: 10002 2
    03/08/07 21:15:23 [Note]: 10002 3
    03/08/07 21:15:23 [Info]: Hidden file: c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR
    03/08/07 21:15:23 [Note]: 10002 3
    03/08/07 21:15:23 [Note]: 10002 3
    03/08/07 21:15:23 [Note]: 10002 2
    03/08/07 21:15:23 [Note]: 10002 2

    Merci d'avance pour votre reponse
    0
  7. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re ,

    Ton ami bagle est bien là

    Donc telecharge ELIBAGLA (mais je sais pas si tu as la bonne version donc je te donne le lien quand meme )
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp

    suis ces procédures :

    Clique sur le bouton Descargar Elibagla, cela va télécharger le fichier, place-le sur ton Bureau.
    Double-clique dessus pour l'ouvrir.
    Assure-toi que dans le menu déroulant Unidad, vous ayez bien C:\
    Vérifie aussi aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
    Clique sur le bouton Explorar pour lancer l'analyse.
    Poste le rapport généré en fin fin d'analyse.

    Poste le rapport dans ton prochain post

    Aide sur la supression de Bagle : http://www.malekal.com//W32.Beagle.KF_Trojan.Tooso.R.php
    0
  8. esmi85 Messages postés 30 Statut Membre
     
    J'ai suivi la procedure et voila le rapport généré dans la fenetre

    Wintems.exe.Vir>Bagle

    Merci de votre aide
    0
  9. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Poste un nouveau rapport blacklight stp
    0
  10. esmi85 Messages postés 30 Statut Membre
     
    C'est le rapport blacklignt de tout à l'heure ou un nouveau rapport après qu j'ai efffectué la procédure ELIBAGLA .

    Merci de votre reponse
    0
  11. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Un nouveau rapport apres elibagla
    0
  12. esmi85 Messages postés 30 Statut Membre
     
    Voila le rapport après ELIBAGLA :

    03/08/07 22:20:55 [Info]: BlackLight Engine 1.0.55 initialized
    03/08/07 22:20:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    03/08/07 22:20:56 [Note]: 7019 4
    03/08/07 22:20:56 [Note]: 7005 0
    03/08/07 22:21:05 [Note]: 7006 0
    03/08/07 22:21:05 [Note]: 7011 1336
    03/08/07 22:21:05 [Note]: 7026 0
    03/08/07 22:21:06 [Note]: 7026 0
    03/08/07 22:21:06 [Note]: 7024 3
    03/08/07 22:21:06 [Info]: Hidden process: C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
    03/08/07 22:21:15 [Note]: FSRAW library version 1.7.1021
    03/08/07 22:21:19 [Info]: Hidden file: c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR
    03/08/07 22:21:19 [Note]: 10002 3
    03/08/07 22:21:19 [Note]: 10002 2
    03/08/07 22:21:19 [Note]: 10002 2

    Merci de votre aide.
    0
  13. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    C'est encore la
    Supprime manuellement ces fichiers :

    c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR

    C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe

    Puis repost un log hijackthis
    0
  14. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    bonsoir essay ceci :

    telecharge the killbox

    http://www.downloads.subratam.org/KillBox.exe

    Double clic sur killbox.exe (Pocket Killbox)

    - coche: delete on reboot: qui veut dire = ( supprimer au demarrage)
    - Dans "Full Path of File to Delete"
    copie et colle:

    C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe

    - clique sur la croix rouge
    - une fenêtre va apparaître pour confirmation de suppression clique sur YES
    - une seconde fenêtre te demande si tu veux redémarrer clique sur YES

    Si ce message s’affiche ignore le :
    http://tinypic.com/images/goodbye.jpg
    Laisse le pc redémarrer ou redemarre manuellement s il le fait pas.

    tu fait pareil avec ces fichiers

    c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR

    ensuite post un nouveau raport blacklight

    a+++
    0
  15. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    KIll box ce n'est pas pour supprimer les processus ???

    CAr sinon j'aurais deja utilisé sa depuis longtemps
    0
  16. esmi85 Messages postés 30 Statut Membre
     
    J'ai un souci

    Car je trouve que le debut

    C:/Documents and settings/esmi Application Data et après je ne trouve pas la suite ?

    Comment faire pour les trouver ? ou est ce normal de ne pas les trouver.

    Merci de votre aide
    0
  17. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    J'ai trouvé en fait tu as mis sa : HIDR.EXE.VIR au lieu de mettre sa HIDR.EXE ou sa HIDR.VIR
    Reessaye
    0
  18. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    bonsoir , the killbox sert a supprimé les fichiers recalcitrants

    il a aussi une option pour terminer les processus (exactement comme le gestionaire des taches)

    a+++++
    0
  19. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Okay merci
    0
  20. esmi85 Messages postés 30 Statut Membre
     
    JE ne trouve pas ses fichier du tout ?

    Comment faire s'il vous plait pour les trouver ?

    Merci de votre aide
    0
  21. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Pourrais-tu poster un rapport hijackthis stp

    Merci
    0
  • 1
  • 2
  • 3
  • 4