Aide pour la suppression de Bagle

Sokhi -  
 Utilisateur anonyme -
Bonjour,

D'après les symptômes ("... n'est pas une application win32 valide" avec AdwCleaner) et ce que je lis sur différents forums, je pense être infectée par le virus Bagle. J'arrive quand même à faire tourner un scan de Avast (qui ne trouve strictement rien).

En lisant des cas similaires sur les forums, je ne suis pas sure d'y arriver seule.
Quelqu'un pourrait-il m'aider dans la démarche?

Merci d'avance.

8 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    Inscris toi avant tout

    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé,

    Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »

    Clique sur la loupe avec le signe + pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien:
    http://pjjoint.malekal.com/

    Si problème utilise un des suivants

    https://forums-fec.be/upload
    https://www.cjoint.com/

    Regarde sur le bureau

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    @+

    0
    1. Sokhi Messages postés 15 Statut Membre
       
      Merci de t'occuper de mon problème ^^
      ZHP est en train de tourner (1%)...
      0
  2. Utilisateur anonyme
     
    Bonsoir

    Télécharge Malwaresbytes anti malware ici
    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)

    *Procèdes à une mise à jour

    *Fais un examen dit "Rapide"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    @+

    0
    1. Sokhi Messages postés 15 Statut Membre
       
      Bonsoir,

      J'ai fait un examen rapide avec Malwarebyte : "l'examen s'est terminé normalement, aucun élément nuisible n'a été détecté".

      Je ne peux pas ouvrir les fichiers txt de l'onglet rapport/log.
      Il m'affiche "... n'est pas une application win32 valide".

      Un rapport s'est cependant ouvert à la fin dans le bloc note :

      Malwarebytes Anti-Malware 1.70.0.1100
      www.malwarebytes.org

      Version de la base de données: v2013.04.03.06

      Windows 7 x64 NTFS
      Internet Explorer 8.0.7600.16385
      Sokha :: TOBLERONE [administrateur]

      03/04/2013 19:26:26
      mbam-log-2013-04-03 (19-26-26).txt

      Type d'examen: Examen rapide
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 210327
      Temps écoulé: 5 minute(s), 45 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      (fin)
      0
    2. Sokhi Messages postés 15 Statut Membre
       
      En fait je ne peux ouvrir aucun fichier texte, pas seulement ceux de Malwarebytes. Le même message d'erreur d'affiche à chaque fois.
      0
  3. Utilisateur anonyme
     
    Re

    Télécharge ceci :
    - RstAssociation ( version .exe ) ->
    - http://general-changelog-team.fr/fr/outils/58-rst-associations
    -
    - Tu sélectionnes « Tous » et ensuite tu cliques sur le bouton »restaurer »
    -
    Cela devrait permettre de restaurer toutes les extensions nécessaires à ton système

    @+
    0
    1. Sokhi Messages postés 15 Statut Membre
       
      Super, merci, je peux de nouveau ouvrir les fichiers texte. Est ce que le virus est éradiqué?
      0
  4. Utilisateur anonyme
     
    Re

    Tu as déjà essayé Adwcleaner.
    Relance le option suppression et poste moi son rapport;merci

    @+
    0
    1. Sokhi Messages postés 15 Statut Membre
       
      Re

      Voici le rapport d'Adwcleaner :

      # AdwCleaner v2.200 - Rapport créé le 03/04/2013 à 20:53:51
      # Mis à jour le 02/04/2013 par Xplode
      # Système d'exploitation : Windows 7 Home Premium (64 bits)
      # Nom d'utilisateur : Sokha - TOBLERONE
      # Mode de démarrage : Normal
      # Exécuté depuis : C:\Users\Sokha\Downloads\adwcleaner.exe
      # Option [Suppression]


      ***** [Services] *****


      ***** [Fichiers / Dossiers] *****

      Dossier Supprimé : C:\Program Files (x86)\Ilivid
      Dossier Supprimé : C:\ProgramData\Babylon
      Dossier Supprimé : C:\ProgramData\boost_interprocess
      Dossier Supprimé : C:\ProgramData\Partner
      Dossier Supprimé : C:\Users\Sokha\AppData\Local\Babylon
      Dossier Supprimé : C:\Users\Sokha\AppData\Local\Ilivid Player
      Dossier Supprimé : C:\Users\Sokha\AppData\Local\PackageAware
      Dossier Supprimé : C:\Users\Sokha\AppData\LocalLow\searchquband
      Dossier Supprimé : C:\Users\Sokha\AppData\LocalLow\Searchqutoolbar
      Dossier Supprimé : C:\Users\Sokha\AppData\Roaming\Babylon
      Dossier Supprimé : C:\Users\Sokha\AppData\Roaming\Mozilla\Firefox\Profiles\b7p2rpza.default\Searchqutoolbar
      Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
      Fichier Supprimé : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml
      Fichier Supprimé : C:\Users\Sokha\AppData\Roaming\Mozilla\Firefox\Profiles\b7p2rpza.default\searchplugins\Search_Results.xml
      Supprimé au redémarrage : C:\Program Files (x86)\Windows iLivid Toolbar

      ***** [Registre] *****

      Clé Supprimée : HKCU\Software\AppDataLow\Software\searchqutoolbar
      Clé Supprimée : HKCU\Software\DataMngr
      Clé Supprimée : HKCU\Software\DataMngr_Toolbar
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}
      Clé Supprimée : HKCU\Software\Softonic
      Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
      Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
      Clé Supprimée : HKLM\Software\Babylon
      Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{AC662AF2-4601-4A68-84DF-A3FE83F1A5F9}
      Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
      Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\DNSBHO.dll
      Clé Supprimée : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
      Clé Supprimée : HKLM\SOFTWARE\Classes\DnsBHO.BHO
      Clé Supprimée : HKLM\SOFTWARE\Classes\DnsBHO.BHO.1
      Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard
      Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1
      Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15}
      Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
      Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}
      Clé Supprimée : HKLM\Software\DataMngr
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\datamngrUI_RASAPI32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\datamngrUI_RASMANCS
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASAPI32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASMANCS
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1656e28ae7cb12a3498502c5526295f6
      Clé Supprimée : HKLM\Software\SearchquMediabarTb
      Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{A40DC6C5-79D0-4CA8-A185-8FF989AF1115}
      Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}
      Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515}
      Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1B730ACF-26A3-447B-9994-14AEE0EB72CC}
      Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{44B619BC-3D2B-4990-AA4F-9AA366921792}
      Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
      Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
      Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Windows Searchqu Toolbar
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9D717F81-9148-4F12-8568-69135F087DB0}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A40DC6C5-79D0-4CA8-A185-8FF989AF1115}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515}
      Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1B730ACF-26A3-447B-9994-14AEE0EB72CC}
      Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{44B619BC-3D2B-4990-AA4F-9AA366921792}
      Clé Supprimée : HKLM\SOFTWARE\DataMngr
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0}
      Donnée Supprimée : [x64] HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\WI3C8A~1\Datamngr\x64\datamngr.dll
      Donnée Supprimée : [x64] HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\WI3C8A~1\Datamngr\x64\IEBHO.dll
      Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\WI3C8A~1\Datamngr\datamngr.dll
      Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\WI3C8A~1\Datamngr\IEBHO.dll
      Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]
      Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [10]
      Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

      ***** [Navigateurs] *****

      -\\ Internet Explorer v8.0.7600.17197

      Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://www.delta-search.com/?affID=120519&tt=190313_wo3&babsrc=NT_ss&mntrId=CA12F67BCB03B898 --> hxxp://www.google.com

      -\\ Mozilla Firefox v19.0.2 (fr)

      Fichier : C:\Users\Sokha\AppData\Roaming\Mozilla\Firefox\Profiles\b7p2rpza.default\prefs.js

      Supprimée : user_pref("browser.startup.homepage", "hxxp://www.searchqu.com/406");
      Supprimée : user_pref("keyword.URL", "hxxp://dts.search-results.com/sr?src=ffb&appid=164&systemid=406&sr=0&q=");

      -\\ Google Chrome v26.0.1410.43

      Fichier : C:\Users\Sokha\AppData\Local\Google\Chrome\User Data\Default\Preferences

      Supprimée [l.43] : icon_url = "hxxp://www.delta-search.com/favicon.ico",
      Supprimée [l.46] : keyword = "delta-search.com",
      Supprimée [l.50] : search_url = "hxxp://www.delta-search.com/?q={searchTerms}&affID=120519&tt=190313_wo3&babsrc=[...]
      Supprimée [l.2176] : homepage = "hxxp://www.delta-search.com/?affID=120519&tt=190313_wo3&babsrc=HP_ss&mntrId=CA12F67B[...]
      Supprimée [l.2997] : urls_to_restore_on_startup = [ "hxxp://www.delta-search.com/?affID=120519&tt=190313_wo3&babsr[...]

      *************************

      AdwCleaner[R1].txt - [7500 octets] - [02/04/2013 20:36:34]
      AdwCleaner[R2].txt - [7560 octets] - [02/04/2013 20:36:58]
      AdwCleaner[R3].txt - [7791 octets] - [02/04/2013 21:36:26]
      AdwCleaner[R4].txt - [7991 octets] - [03/04/2013 20:52:07]
      AdwCleaner[S1].txt - [347 octets] - [02/04/2013 20:41:25]
      AdwCleaner[S2].txt - [347 octets] - [03/04/2013 20:52:51]
      AdwCleaner[S3].txt - [7757 octets] - [03/04/2013 20:53:51]

      ########## EOF - C:\AdwCleaner[S3].txt - [7817 octets] ##########

      Il a supprimé Delta search, mais je peux toujours le sélectionner comme moteur de recherche par défaut...
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    Poste moi un nouveau rapport ZHPDiag;merci

    @+
    0
    1. Utilisateur anonyme
       
      Met à jour Windows >>> Le pack SP1 de Seven via Windows update

      Et à l'issue un nouveau rapport ZHPDiag;merci
      0
    2. Utilisateur anonyme
       
      Salut jacques, merci ;-)
      Mais j'aime bien Windows Update
      0
    3. Sokhi Messages postés 15 Statut Membre
       
      La mise à jour n'a pas marché. Echec pour :
      - internet explorer pour windows 7 pour les systèmes x64 (kb2809289)
      -windows 7 pour processeur x64 (kb2807986)
      -windows 7 service pack 1 (kb976932)
      -definition update for windows defender kb915597
      0
  7. Utilisateur anonyme
     
    Re

    Toutes les MaJ ont échoué?

    @+
    0
    1. Sokhi Messages postés 15 Statut Membre
       
      Oui, d'après l'historique des mises à jour. La dernière a avoir été installée date du 1/4/13. Pourtant il m'a demandé de redémarrer pour finaliser les mises à jour (ce que j'ai fait).
      0
  8. Utilisateur anonyme
     
    Re

    Essaie comme le propose jacques.gache en téléchargeant et en installant ensuite le pack 1

    @+
    0
    1. Sokhi Messages postés 15 Statut Membre
       
      Le téléchargement est en cours. Je ne sais pas si c'est utile, j'ai noté les codes des erreurs détectées par Windows Update : code 8000FFFF, code 45D et code 800F081E
      0
    2. Utilisateur anonyme
       
      On essaie ;-))
      0