Virus Email-Worm.Win32.Bagle.of Fermé

Question

Bonjour,
mon ordinateur est infecté par le virus Email-Worm.Win32.Bagle.of (anlayse kaspersky)
je ne peux pas installer d'antivirus; je ne peux plus lire de dvd ni cd ni de connexion usb...j'ai donc lancé une analyse par elibagla (comme conseillé dans les autres posts) et je vous envoie le rapport:
pouvez vous m'aider?

	  Mon Mar 24 15:57:19 2008
EliBagle v11.18  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v11.18
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ELODIE\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ELODIE\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

	  Mon Mar 24 15:57:33 2008
EliBagle v11.18  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\eMule\Incoming\Javascript Rss News Ticker Plus 1.1\JAVASCRIPT RSS NEWS TICKER PLUS 1.1.EXE --> Eliminado Bagle

Nº Total de Directorios:   11753
Nº Total de Ficheros:      103153
Nº de Ficheros Analizados: 10846
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Mon Mar 24 16:10:09 2008
EliBagle v11.18  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   11753
Nº Total de Ficheros:      103200
Nº de Ficheros Analizados: 10845
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

ophely · Answer

Bonjour, 
j'ai depuis essayé d'installer Hijackthis mais impossible de lancer le programme!J'ai relancé un scan avec Panda total scan car j'ai l'impresion que alibagla ne detecte pas mon virus:il est insatllé sur C:/windows/system32/mdelk.exe.
Je suis vraiment coincée avec ce virus qui ne veut pas partir!!!

J'attends votre aide.
Merci d'avance

Dimi · Answer

up up

moe · Answer

Bonsoir ophely

Tu es toujours dans les parages ?

moe · Answer

Bonjour Ophélie

On peut essayer d'en trouver :-)

Télécharge sur ton bureau KB.exe ici

Sur ton bureau double clic sur KB.exe, laisse le chemin d'extraction proposé par défaut et clic sur "Installer"
Toujours sur ton bureau double clic ensuite sur le raccourci "KillB"
Au message "Voulez-vous exécuter Elibagla", tape 1 (Oui) puis valide avec la touche 'Entrée'

Juste après, l'outil Elibagla va se lancer automatiquement, clic sur "ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias
et/ou
Eliminando Gusano BAGLE

Une fois fait, le menu principal d'Elibagla apparaîtra :

- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.

/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
/!\ Ne redémarre pas ton pc après l'analyse de l'outil.

Le scan terminé, poste dans ta prochaine réponse le contenu du fichier C:\KB\KB.txt ainsi que C:\InfoSat.txt

Je dois repartir bosser d'ici 30 mn, donc je repasserais en fin d'aprés-midi début de soirée pour voir s'il y a du mieux.

Bon courage !
@+

moe · Answer

Bonsoir Ophélie

Le lien est de nouveau actif pour KB.exe, je viens de le réactiver.
Mais bon, attendons voir d'abord ce que va donner le rapport Elibagla.

@+ tard

moe · Answer

Oui, je crois qu'il vaut mieux, suis la procédure avec KB.exe car l'infection est toujours active d'après le rapport et poste les deux rapports.

Au fait, ta connexion est en WiFi ?

@+

moe · Answer

Bah, je crois que tu n'auras pas trop besoin de mes lumières ou de traductions pour déjà constater le changement dans le rapport d'élibagla : Eliminado Bagle :-)

Bagle à été supprimé, mais pour que tu puisses à nouveau réinstaller tes logiciels de sécurité il va falloir d'abord redémarrer le pc.
Mais avant, dis moi si ta connexion est en WiFi et si tu as toujours des problèmes de connexion internet ?

@+

moe · Answer

En fait Bagle a la particularité d'arréter et de désactiver un service windows essentiel pour que la connexion en WiFi puisse se faire correctement.
Donc souvent les personnes dont le pc est infecté par Bagle et dont la connec est en WiFi se plaignent de problèmes de connexion même une fois Bagle supprimé.
Elibagla ou d'autres outils qui traitent l'infection Bagle ne réactivent pas ce service spontanément pendant leur procédure de nettoyage et il faut le faire manuellement, d'ou ma question pour savoir si tu as bien récupéré ta connec et si éventuellement elle est en wifi pour pouvoir te faire réactiver ce service si des problèmes persistaient.

moe · Answer

Ok
Donc en premier il faut d'abord et avant tout que tu redémarres ton pc.
Une fois fait, tu relance Elibagla, la version que tu utilisais jusqu'à présent ira très bien et pas KB dont tu n'as plus besoin maintenant.
Possible qu'il trouve encore des restes inactifs de l'infection à supprimer.

Ensuite pour ta connec, tu vas faire cette vérification :

Dans le menu Démarrer, clic sur exécuter, puis tape : devmgmt.msc
Valide.

Le gestionnaire des périphériques va s'ouvrir, dans le menu du haut clic sur 'Affichage' puis sur 'Afficher les périphériques cachés'
Dans la liste des périphériques déploie 'Pilotes non Plugs-and-Play'
Double clic sur 'NDIS mode utilisateur E/S protocole'
Clic sur l'onglet 'Pilote"
Dans la section 'Démarrage' et à côté de 'type' l'option doit être sur 'Demande'
La section 'Etat actuel' doit mentionner :  "démarré".

Si ce n'est pas le cas :
Dans la section 'Démarrage' et à côté de 'type' règle l'option sur 'Demande' dans la liste déroulante.
Valide avec ok (important) et referme la fenêtre du gestionnaire de périphériques.
Redémarre le pc pour que les modifications puissent prendre effet.

Dans ta prochaine réponse, dis moi s'il y a du mieux pour ta connexion et poste le rapport Elibagla qui se trouve dans C:\InfoSat.txt.

A plus tard Ophély, pour ma part je dois déconnecter pour ce soir, donc je repasserais demain vérifier ce qu'il en est.

@++

moe · Answer

Salut Ophélie

De rien, mais ce n'est pas encore terminé.
Poste le rapport C:\InfoSat.txt d'elibagla, puis supprime ces deux dossiers s'il sont toujours présent dans ton pc :
C:\WINDOWS\system32\drivers\down
et
C:\DOCUMENTS AND SETTINGS\ELODIE\APPLICATION DATA\M

@+

ps:
Si tu n'es pas rebutée par une interface en anglais, Antivir est un très bon antivirus et gratuit.
Regarde ici pour plus d'infos :
https://www.malekal.com/avira-free-security-antivirus-gratuit/
http://speedweb1.free.fr/frames2.php?page=tuto5

green day · Answer

Salut 

up ! :)

désolée pour le retard ...

++

moe · Answer

Bonsoir Ophély

De rien...

Parfait, le rapport d'Elibagla est clean :-)
As-tu pu trouver et supprimer les deux dossiers dont je te parlais dans mon message précédent ?
A y être supprime le fichier KB.exe, tu n'en as plus besoin.
Supprime aussi le raccourci qu'il a crée sur le bureau, ainsi que le dossier C:\KB
Tu peux effacer Elibagla, le fichier rapport C:\InfoSat.txt et le dossier C:\Muestra qu'il a crée.

Avant d'installer Antivir, pense à désinstaller ton ancien Antivirus, puis à faire à temps perdu un scan complet de ton pc.
Poste ensuite le rapport ici, si jamais il devait trouver quelque chose (ce sera surement le cas pour des points de restauration système qui ont pu se créer pendant que le pc était infecté).

Pense aussi à réinstaller tous tes programmes de sécu (pare-feu, Antispyware...etc) qui génèrent le message "...n'est pas une application Win32 valide", car ils ont été très probablement corrompus définitivement par Bagle :-\

En fonction de ce que donnera le rapport d'analyse antivir, on avisera ensuite sur les recherches et les actions à mener.

Bonne fin de soirée et à bientôt.

ps:
green day,
Merci d'avoir remonté le topic et pas grave pour le retard...

aline2 · Answer

bonjour
a tous
voila je suis infecté par ce virus 
il m'enpeche d'utiliser spybot mon antivirus c avast
des que je clik sur une fenetre elle disparait 2 a 3 seconde 
a chaque fois il me refuse mode sans echec et il me refuse 
restauration systeme
j'ai essayer de telechargé les programmes citez mais je n'y arrive pas 
et je ne m'y connait pas trop en informatique 
j'ai essayé un scan en ligne mais il a avancé de 12 % en 18 heures ca ma soulé je l'ai arrettez
bref svp es que l'on pourrait m'aidez en me disant quoi faire
et me donnez le liens direct pour m'aidez
voici mon email
timitemax@yahoo.fr
merci d'avance a tous 
bisous
ALINE

Virus Email-Worm.Win32.Bagle.of

13 réponses

Discussions similaires