Infection BAGLE : installation antivirus impossible

Fermé
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016 - Modifié par Malekal_morte- le 12/03/2016 à 13:28
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 13 mars 2016 à 19:18
Bonjour a tous, gros problème d infection par un bagle (je pense), antivirus ect désactivé et impossible de réinstaller ou d en installer de nouveau...
J ai reussi a télécharger emisoft mais rien n y fait ( pas trés performant).
Je suis sous windows 7 avec un toshiba sattelite pro 32 bit.

HELP ME PLEASE
A voir également:

8 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 9/03/2016 à 14:22
Salut,

Bagle n'existe plus du moins au moins 4 ans.

Pour voir si infecté :

FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 14:24
Merci beaucoup de ta réponse, je le fais dessuite
0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 14:50
0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 14:51
désolé j ai etais un peu long
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
9 mars 2016 à 14:54
Le FRST.txt est vide, renvoie le stp.
0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 14:55
il etait vide a la fin de l analyse, je la refait.
0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 14:56
Ah non autant pour moi ! je le renvoi.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 16:09
Tu peux renvoyer le Addition.txt car il est vide aussi.
0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 14:57
0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 15:05
tout est bon ?

Je tiens a te remercier d avance de ton aide, car malgrès que je ne soit pas une daube en info, je suis un peu largué concernant mon problèmes..
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
9 mars 2016 à 15:07
Tu as déjà Kaspersky.

Je te conseille de désinstaller McAfee Security Scan car c'est avant tout un programme markéting proposé à l'installation d'autres logiciels ( comme Adobe Flash) pour final tenter de te vendre l'antivirus.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


IFEO\AvastSvc.exe: [Debugger] nqij.exe
IFEO\AvastUI.exe: [Debugger] nqij.exe
IFEO\avcenter.exe: [Debugger] nqij.exe
IFEO\avconfig.exe: [Debugger] nqij.exe
IFEO\avgcsrvx.exe: [Debugger] nqij.exe
IFEO\avgidsagent.exe: [Debugger] nqij.exe
IFEO\avgnt.exe: [Debugger] nqij.exe
IFEO\avgrsx.exe: [Debugger] nqij.exe
IFEO\avguard.exe: [Debugger] nqij.exe
IFEO\avgui.exe: [Debugger] nqij.exe
IFEO\avgwdsvc.exe: [Debugger] nqij.exe
IFEO\avscan.exe: [Debugger] nqij.exe
IFEO\bdagent.exe: [Debugger] nqij.exe
IFEO\blindman.exe: [Debugger] nqij.exe
IFEO\ccuac.exe: [Debugger] nqij.exe
IFEO\ComboFix.exe: [Debugger] nqij.exe
IFEO\egui.exe: [Debugger] nqij.exe
IFEO\hijackthis.exe: [Debugger] nqij.exe
IFEO\instup.exe: [Debugger] nqij.exe
IFEO\keyscrambler.exe: [Debugger] nqij.exe
IFEO\mbam.exe: [Debugger] nqij.exe
IFEO\mbamgui.exe: [Debugger] nqij.exe
IFEO\mbampt.exe: [Debugger] nqij.exe
IFEO\mbamscheduler.exe: [Debugger] nqij.exe
IFEO\mbamservice.exe: [Debugger] nqij.exe
IFEO\MpCmdRun.exe: [Debugger] nqij.exe
IFEO\MSASCui.exe: [Debugger] nqij.exe
IFEO\MsMpEng.exe: [Debugger] nqij.exe
IFEO\msseces.exe: [Debugger] nqij.exe
IFEO\rstrui.exe: [Debugger] nqij.exe
IFEO\SDFiles.exe: [Debugger] nqij.exe
IFEO\SDMain.exe: [Debugger] nqij.exe
IFEO\SDWinSec.exe: [Debugger] nqij.exe
IFEO\spybotsd.exe: [Debugger] nqij.exe
IFEO\wireshark.exe: [Debugger] nqij.exe
IFEO\zlclient.exe: [Debugger] nqij.exe



Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 15:10
Oui j ai réussi a installer kapersky après mainte reprise pour installer un pare feu. Mais ce n est qu une version d essai, donc dans moins de 30 jour fini la protection.
0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 15:11
Je fais les manip je poste les résultats.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 15:16
Voici les résultats obtenu :

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:05-03-2016 01
Exécuté par ut (2016-03-09 15:15:45) Run:1
Exécuté depuis C:\Users\ut\Desktop
Profils chargés: ut (Profils disponibles: ut)
Mode d'amorçage: Normal

==============================================

fixlist contenu:

IFEO\AvastSvc.exe: [Debugger] nqij.exe
IFEO\AvastUI.exe: [Debugger] nqij.exe
IFEO\avcenter.exe: [Debugger] nqij.exe
IFEO\avconfig.exe: [Debugger] nqij.exe
IFEO\avgcsrvx.exe: [Debugger] nqij.exe
IFEO\avgidsagent.exe: [Debugger] nqij.exe
IFEO\avgnt.exe: [Debugger] nqij.exe
IFEO\avgrsx.exe: [Debugger] nqij.exe
IFEO\avguard.exe: [Debugger] nqij.exe
IFEO\avgui.exe: [Debugger] nqij.exe
IFEO\avgwdsvc.exe: [Debugger] nqij.exe
IFEO\avscan.exe: [Debugger] nqij.exe
IFEO\bdagent.exe: [Debugger] nqij.exe
IFEO\blindman.exe: [Debugger] nqij.exe
IFEO\ccuac.exe: [Debugger] nqij.exe
IFEO\ComboFix.exe: [Debugger] nqij.exe
IFEO\egui.exe: [Debugger] nqij.exe
IFEO\hijackthis.exe: [Debugger] nqij.exe
IFEO\instup.exe: [Debugger] nqij.exe
IFEO\keyscrambler.exe: [Debugger] nqij.exe
IFEO\mbam.exe: [Debugger] nqij.exe
IFEO\mbamgui.exe: [Debugger] nqij.exe
IFEO\mbampt.exe: [Debugger] nqij.exe
IFEO\mbamscheduler.exe: [Debugger] nqij.exe
IFEO\mbamservice.exe: [Debugger] nqij.exe
IFEO\MpCmdRun.exe: [Debugger] nqij.exe
IFEO\MSASCui.exe: [Debugger] nqij.exe
IFEO\MsMpEng.exe: [Debugger] nqij.exe
IFEO\msseces.exe: [Debugger] nqij.exe
IFEO\rstrui.exe: [Debugger] nqij.exe
IFEO\SDFiles.exe: [Debugger] nqij.exe
IFEO\SDMain.exe: [Debugger] nqij.exe
IFEO\SDWinSec.exe: [Debugger] nqij.exe
IFEO\spybotsd.exe: [Debugger] nqij.exe
IFEO\wireshark.exe: [Debugger] nqij.exe
IFEO\zlclient.exe: [Debugger] nqij.exe


"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\AvastSvc.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\AvastUI.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avcenter.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avconfig.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgcsrvx.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgidsagent.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgnt.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgrsx.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avguard.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgui.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgwdsvc.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avscan.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\bdagent.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\blindman.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\ccuac.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\ComboFix.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\egui.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\hijackthis.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\instup.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\keyscrambler.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbam.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbamgui.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbampt.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbamscheduler.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbamservice.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\MpCmdRun.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\MSASCui.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\MsMpEng.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\msseces.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\rstrui.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\SDFiles.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\SDMain.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\SDWinSec.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\spybotsd.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\wireshark.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\zlclient.exe" => clé supprimé(es) avec succès

Fin de Fixlog 15:15:49

0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 15:17
Je n est pas eu de redemarage a faire
0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 15:24
En gros il se passe quoi ? si tu es en mesure de me répondre
0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
9 mars 2016 à 15:41
je ne peux toujours pas installer genre avira, malwarebytes ...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
11 mars 2016 à 16:26
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


HKLM\...\Run: [MSC] => c:\Program Files\Microsoft Security Client\msseces.exe [986872 2016-01-29] (Microsoft Corporation)
S2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [22216 2016-01-29] (Microsoft Corporation)
S3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [292816 2016-01-29] (Microsoft Corporation)
2016-02-24 12:47 - 2015-10-18 17:27 - 00002117 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Security Essentials.lnk
2016-02-24 12:47 - 2015-10-18 17:27 - 00000000 ____D C:\Program Files\Microsoft Security Client



Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Réinstalle Malwarebytes comme ceci :
https://forum.malekal.com/viewtopic.php?t=48557&start=
0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
11 mars 2016 à 17:02
voila les resultats : https://pjjoint.malekal.com/files.php?read=20160311_h8h9u5u8i13

je vais tenter la réinstallation de malwarebytes
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
11 mars 2016 à 17:06
Tu avais pu faire un scan complet de l'ordinateur avec Kaspersky ?
0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
11 mars 2016 à 17:11
Installation de malwarebytes toujours impossible... et oui je l ai fait mais je les désinstaller maintenant quand on a essayé
0
ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
11 mars 2016 à 17:14
sa craint un peu la quand même et on dirait que cela ne marche pas... je sens le formatage arrivé......................
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > ninzblbl Messages postés 49 Date d'inscription mercredi 9 mars 2016 Statut Membre Dernière intervention 25 août 2016
Modifié par Malekal_morte- le 11/03/2016 à 17:32
Ce qui est certains, c'est qu'à un moment donné, ce PC a été infecté.
Donc possible que quelque chose a été touché pour que les installations d'antivirus merdouillent.
Le message d'Antivir indique qu'il ne peut pas écrire dans C:\ProgramData\Antivir
Peut-être que des permissions ont été changées...

Ca va être galère de trouver la source :



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


2016-02-29 23:45 - 2016-02-29 23:45 - 00000000 __SHD C:\ProgramData\NT Kernel
2016-02-29 16:49 - 2016-03-01 13:15 - 00000000 __SHD C:\Windows\system32\NT Kernel
2016-02-15 13:40 - 2016-02-15 13:40 - 00000000 __HDC C:\ProgramData\{F21A5765-AACF-4530-991E-CE1346273F96}
2016-02-15 13:40 - 2016-02-15 13:40 - 00000000 __HDC C:\ProgramData\{B459B207-EA55-45E4-939F-D5DBD19BA3B1}
2016-02-15 13:40 - 2016-02-15 13:40 - 00000000 __HDC C:\ProgramData\{39F0D482-6A42-445B-B6E2-506945189709}
2016-02-15 13:39 - 2016-02-15 13:39 - 00000000 __HDC C:\ProgramData\{00E0164B-B182-4800-96DA-F8D39B3A7189}
2016-02-15 13:38 - 2016-02-15 13:38 - 00000000 __HDC C:\ProgramData\{C1CF19B4-9194-417A-8B85-84F1471783CE}
2016-02-15 13:35 - 2016-02-15 13:35 - 00000000 __HDC C:\ProgramData\{A9158F4E-7914-4019-808A-D4D4993E9958}
2016-02-15 13:26 - 2016-02-15 13:26 - 00000000 __HDC C:\ProgramData\{9327ACE9-CC82-4A33-9B33-291ACA1E267B}



Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ([i] pas obligatoire /i)
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Ca se trouve, t'as eu un Ramnit ou truc comme ça.
https://free.drweb.fr/cureit/?lng=fr <= fais un scan Dr. WebCureIT, ça dit quoi ?

Après tu peux réinstaller Windows, par contre, réinstaller Windows 7, c'est galère car tu vas avoir >200 mises à jour.
Faut les passer 10 par 10 en désactivant ton antivirus.
0