Virus bagle

Résolu/Fermé
tomate - 29 janv. 2008 à 09:50
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 11 mars 2008 à 23:56
Bonjour,

Mon pc est vraisemblablement infecté par le virus bagle: plus d'avast, spybot, ccleaner...
J'ai consulté les posts à ce sujet et j'ai téléchargé, comme conseillé, elibagla, qui identifie le virus mais ne l'élimine pas. De plus, maintenant mon pc se redémarre tout seul toutes les 5 minutes...
Je ne sais plus quoi faire....
Merci beaucoup par avance de votre aide!

47 réponses

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 14:24
tomate,

pour aider jorginho67, et t´aider par la meme occasion :

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+
1
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
30 janv. 2008 à 20:21
Salut G!rly ;o))

Tomate...
tu est en de bonnes mains avec G!rly, t'inquietes, je surveille ;o)))

non, sérieusement, Combo est un outil très performant, mais je ne le maitrise pas trop encore, donc je te laisse avec G!rly, je reste en arriere...

Thanks !
@+
0
elea33 Messages postés 2 Date d'inscription samedi 1 mars 2008 Statut Membre Dernière intervention 11 mars 2008 1
11 mars 2008 à 16:01
bonjour,

Il ne refuse pas de t'aider, il veut que tu ouvres un nouveau fil sur ton souci meme si ce dernier est similaire à celui-ci.

Un fil personnel sur la gestion d'un souci permet de voir ce qui a ete fait sans etre parasité par des demandes d'autrui, d'assuré un max de suivi et d'eviter de refaire des manips qui n'ont rien donné dans la gestion precis de ce cas.

Estime toi plutot heureux de la demarche, car c'est bien par ce systeme de pas à pas que j'ai pu resoudre mon souci de virus. Je suis juste intervenue pour preciser que combofix n'etait plus mais qu'elibagla pouvait prendre le relais.


Les fils personnalisés sont une vraie guidance, on retrouve des parametres communs et donc on peut tenter de se depatouillé seul si on a saisi la logique de desinfection.

bonne journée _ léa
1
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
29 janv. 2008 à 11:51
Salut !
Ne pas oublier de décrire le plus précisément possible les dysfonctionnements que rencontre votre PC au fur et à mesure des interventions !
IMPORTANT : Ne désactive pas la restauration système, tant que le pc n'est pas propre.

Télécharge ELIBAGLA (de MSC HotlineSat)
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

Clique sur le bouton Descargar Elibagla 10.60
( tout en bas de la page au dessus de Tamaño Descargados Licencia Web 44,51 Kb.)
Pour télécharger le fichier sur le bureau.
Double-clique sur EliBaglA.exe.
Dans le cartouche Unidad, tu dois voir C:\

L'option en bas de la fenêtre "Eliminar Ficheros Automaticamente" doit être cochée.
Clique sur le bouton "Explorar" pour lancer l'analyse.

https://i18.servimg.com/u/f18/11/05/93/83/elibag10.jpg
---------------------------------------------------------------------------------------------------------------------
Ensuite :
Télécharge HIJACKTHIS en cliquant sur ce lien
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\HijackThis\HijackThis.exe
Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" -> Copier" pour copier tout le contenu du rapport
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

IMPERATIF ! Avant de lancer HIJACKTHIS , il faut fermer tous les programmes ouverts, se déconnecter d' INTERNET !!
---------------------------------------------------------------------------------

j'ai besoin des rapports suivants :
Elibagla > c:\infosat.txt et celui d'Hijackthis.

to be continued..........
0
Bonjour,

Tout d'abord merci de ta réponse.
J'ai voulu lancer hijackthis mais ça n'a pas été possible: il me dit que hijackthis n'est pas une application win32 valide. (Il me dit la même chose quand je veux lancer avast, spybot ou ccleaner).
Par contre voici le rapport elibagla:


Tue Jan 29 14:27:01 2008
EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Tue Jan 29 14:27:32 2008
EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7937
Nº Total de Ficheros: 82980
Nº de Ficheros Analizados: 9346
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0

Tue Jan 29 14:37:58 2008
EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Et je me depeche avant que mon pc s'éteigne à nouveau!

Merci beaucoup
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
29 janv. 2008 à 19:16
Essaye d'instaler un antivirus maintenant stp...

Télécharge Avira antivir PersonalEdition Classic a partir de ce lien :
http://www.commentcamarche.net/telecharger/telecharger 55 antivir sur ton bureau.

Installe, paramètre et mets a jour Antivir
tuto : http://www.malekal.com/tutorial_antivir.html
Double clique sur son set up sur ton bureau pour lancer l’installation.
Une fois l'installation terminée, reconnecte toi a internet

Effectue sa mise a jour puis fais un scan complet et poste le resultat en reponse.

si tu reussi, fais moi un Hijackthis comme demandé plus haut.
Peux-tu envoyer ces fichiers :
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92
A cette adressse :
virus@satinfo.es
@ suivre.........
0
Bonjour,

J'ai installé antivir mais quand je le lance, j'ai toujours le même message: ce n'est pas une application win32 valide.
Je commence à craindre de devoir reformater et j'aimerais vraiment éviter...
As tu une autre solution?
Merci beaucoup de m'aider.
0
Bonjour g!rly,

J'ai essayé de lancer combofix mais rien ne se passe et je ne peux même pas le supprimer. L'application ne répond pas.

@+
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 15:09
re,

fais ceci :

click sur demarrer puis executer dans la case de dialogue ecrit ceci : Combofix /u et valide par ok (respect les espaces)

il doit alors se supprimer...

recommence eliblaga mais en mode sans echec cette fois ci :

Lance-le, en mode sans échec si tu en as la possibilité. Patiente le temps du scan.
Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\

***Ne pas rebooter en passant par msconfig.

Comment redémarrer en mode sans echec?

Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5.

@+
0
Re,

Alors, déjà, il n'a pas retrouvé Combofix, malgré la manip sur "executer".

D'autre part, depuis que j'ai ce virus, je ne peux plus démarrer en mode sans echec... Donc impossible d'essayer de passer les scans.
N'existe t il pas des solutions qui ne necessitent pas de télécharger un programme? J'ai par contre accès à internet sans problème et mon pc ne se redémarre plus tout seul, ce qui est déjà une bonne chose. Peut être que je peux faire passer un antivirus en ligne spécifique? (j'ai déjà fait passer bitdefender mais sans résultats).
Merci.
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 17:44
re,

je voie le probleme...

le probleme est que eliblaga n´arrive pas a supprimer les drivers responssable de cette incapacité de redemarrer en mode sans echec, c´est pour cela que je t´ai proposé combofix qui lui aurait reussi...

on peut essayer comme ceci :

Télécharge Pocket KillBox sur ton bureau.
http://www.downloads.subratam.org/KillBox.exe


-> Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".

Copie la ligne ci dessous :

C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

-> Sur PocketKillBox --> menu "File" --> "Paste from Clipboard"

Tu peux vérifier dans le menu déroulant que le fichier est bien présent.
- coche la case "Unregister dll before deleting" (si tu en as la possibilité)
- click sur le bouton "All files"
- click ensuite sur la croix rouge

Au deux messages qui vont s'afficher, tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.

Après redémarrage, relance Killbox puis clic sur l'onglet "fichier" -> Log -> Actions History Log
Poste le rapport ici

@+
0
Re,

j'ai juste une petite question avant de lancer killbox: il n'est pas possible de cocher la case "Unregister dll before deleting". C'est important?
Merci
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 19:56
re,

bon, fais le sans.

@+
0
Re,

Voici le rapport:

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 7:32 PM

Killbox Closed(Exit) @ 7:34:40 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 8:09 PM

Killbox Closed(Exit) @ 8:10:27 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 8:10 PM

Killbox Closed(Exit) @ 8:10:56 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 8:10 PM

Killbox Closed(Exit) @ 8:11:24 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 8:11 PM

Killbox Closed(Exit) @ 8:11:50 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 8:14 PM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\SYSTEM32\WINTEMS.EXE


# 2 [Delete on Reboot]
Path = C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS


# 3 [Delete on Reboot]
Path = C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE


I Rebooted @ 8:15:45 PM
Killbox Closed(Exit) @ 8:15:47 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 8:18 PM
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 21:27
salut tomate,

peux tu refaire eliblaga stp et poster le resultat ici

@+
0
Salut,

voici le rapport elibagla:



Wed Jan 30 21:42:26 2008
EliBagle v10.94 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Wed Jan 30 21:42:29 2008
EliBagle v10.94 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7956
Nº Total de Ficheros: 83559
Nº de Ficheros Analizados: 9425
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 22:17
re,

Télécharge DiagHelp sur ton bureau:

http://www.malekal.com/download/DiagHelp.zip

# Décompresse l'archive sur ton bureau
# Dans le dossier DiagHelp que tu viens d'extraire, double-clique sur catchme.exe
# Deux fenêtres vont s'ouvrir: dans celle qui est grise, va dans l'onglet "script"
# Copie-colle ce texte dans l'onglet "script":

files to kill:

C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

* Clique sur "run"
* Redémarre le PC
* Une fois redémarré, relance (pour la énième fois!) un scan EliBagla et poste le rapport.

@+
0
Re,

J'ai fait comme tu m'as dit mais quand je clique sur run, un message apparait: script command not found.
J'imagine que ce n'est pas ce qu'il faut....
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 23:08
essaie comme ca : sans l´espace...

files to kill:
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

@+
0
Voici le rapport elibagla:

Wed Jan 30 23:53:48 2008
EliBagle v10.94 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

Wed Jan 30 23:54:22 2008
EliBagle v10.94 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\!KillBox\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\!KillBox\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\!KillBox\WINTEMS.EXE --> Eliminado Bagle
C:\Program Files\PeerGuardian2\PG2.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\123343.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\131609.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\134937.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\144859.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14844718.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14851015.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\29319031.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\305421.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\315921.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\376578.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\382203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\43218.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\43788171.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\43791859.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\44062.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\44890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\45859.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\47328.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\52437.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\54156.EXE --> Eliminado Bagle

Nº Total de Directorios: 7985
Nº Total de Ficheros: 84113
Nº de Ficheros Analizados: 9488
Nº de Ficheros Infectados: 25
Nº de Ficheros Limpiados: 25
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
31 janv. 2008 à 00:04
ca a marché ;-)

post un hijack this stp

Télécharge HijackThis ici :

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´utilisation (video) :

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

Post le rapport généré ici stp...

@+
0