Infecté par Beagle?! Help Me SVP :=( Résolu

Question

Bonjour, ou plutôt Bonsoir :=)

Je viens vous demander de l'aide suite à une possible infection par Bagle ou Beagle ( je ne sais pas l'ortographe exacte mais peu importe lol )

Pas plus tard que ce soir, un ami est venu me dire que je lui avait envoyé un mail avec comme titre du mail "FW: Hi" .
Chose que je n'ai jamais envoyé.

Alors après avoir parcouru les forums sur le net il me semble que c'est Beagle donc ne toychant pas gtrandement ma bille en informatique, je me tourne vers les specialistes ou connaisseurs d'internet et de ses petits tracas qui embettent.

Pour information, il y a quelques mois de celà j'ai reuc un mail identique et par curiosité j'ai cliqué sur le lien du mail.
Un lien qui proposait des MP4, consoles de jeux et autres à des prix défiannt toute concurrence.

Bref à l'aide :)

Merci d'avance pour votre aide!

afideg · Accepted Answer

geoffrey5

ComboFix est un outil dangereux, à ne pas utiliser abusivement.

Je ne vois pas où tu as pu "dénicher" cette "règle": « Après msnfix, il faut faire un combofix ».
- Soit, il y a infection MSN, et alors MSNFix suffit.
- Soit il n'y a pas infection MSN, et dans ce cas, tu peux demander un diagnostic DiagHelp (pas avec Vista), où un ScanOnlineKaspersky (qui te montrera éventuellement la présence de crack).

Je demande Navilog1 à cause de cette publicité (type Navipromo) en 3° des indices reçus.

Coucou Marie
Al.

geoffrey5 · Answer

Salut !!

Rends toi sur ce site : 
http://www.zonavirus.com/datos/descargas/95/elibagla.asp 
tout en bas de cette page tu trouveras un outil 
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour) 
installe ce fichier sur le Bureau. 
ensuite double-clic sur Elibagla.exe 
>laisse la case "eliminar ficheros automaticamente" coché 
>clique sur"explorar" 
>laisse-le travailler 

Redémarre en mode sans échec, 

Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter. 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 

relance 2 fois elibagla 

redémarre en mode normal 

>poste le rapport final qui sera dans c:\infosat.txt 

ensuite : 

Télécharge sur le bureau hijackthis : http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

-une fois installé sur le bureau, le renommer scan.exe
-Double-clic dessus 
- Clic sur "Do a system scan and save the log" 
- copier le rapport, le coller dans la réponse

geoffrey5 · Answer

Je ne vois pas d infections dans ton rapprt et pourtant elibagla n a rien supprimé si je vois bien..

Mais je vois que tu as 2 antivirus installés sur ton pc  :s

Ne JAMAIS installer 2 antivirus sur le meme pc, ca peut creer des conflits entres les 2

Donc désinstalles en 1 et vas faire des analyses en ligne à cette adresse : 

http://www.zebulon.fr/outils/antivirus/antivirus-en-ligne.php

les deux premiers savent désinfecter

geoffrey5 · Answer

je vois norton et antivir...et tu as aussi le scanneur en ligne de NOD32

afideg · Answer

Bonsoir vous deux

Télécharger MsnFix <  http://sosvirus.changelog.fr/MSNFix.exe > ([Enregistrer] > choisir sur le "Bureau") 
Accepter les alertes éventuelles de l'antivirus installé. 
Double-clique sur l’icône placé sur le bureau, puis [Exécuter] > choisir « Français » > [Suivant] dans l’assistant d’installation > cocher la case devant « Créer une icône sur le bureau » > [Suivant] > [Installer] > [Terminer] ==> le programme se lance automatiquement. 
- Exécute l'option R. 
- Si l'infection est détectée, presse une touche pour lancer le nettoyage. (N) 
Si tu dois redémarrer l’ordinateur, fais-le manuellement. 
Poste le rapport situé dans le dossier MSNFix. 
Le nom du rapport correspond au moment de sa création : date_heure.log


Bonne chance
Al.

geoffrey5 · Answer

tu n as plus de licence norton?

geoffrey5 · Answer

alors désinstalle norton et garde antivir, c est le meilleur gratuit 

Et fais ceci : 

relance hijackthis en cliquant sur scan only et coche cette ligne :

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

ensuite clique sur fix checked.

afideg · Answer

Re,

Cit « Le rapport ne me sort aucune infection, de plus impossible de faire le rapport. »  
Pas de problème.
Je ne crois pas ton "ami" qui t'envoit ce message « Pas plus tard que ce soir, un ami est venu me dire que je lui avait envoyé un mail avec comme titre du mail "FW: Hi" » .
==> n'ouvre pas de tel courrier.


Et pour exclure service inutile CLTNetCnService  de Norton Symantec, il suffit de faire ainsi: 
Clic sur « Démarrer » > « Exécuter » ; ensuite, dans la lucarne de saisie, coller (recommencer pour chacune des trois commandes suivantes) : 
1°- sc stop CLTNetCnService > valider par [Ctrl + Shift + Entrée]. 
2°- sc config CLTNetCnService= disabled > valider par [Ctrl + Shift + Entrée]. 
3°- sc delete CLTNetCnService > valider par [Ctrl + Shift + Entrée].
Quitter

Bonne nuit
Al.

geoffrey5 · Answer

afideg : Qu est ce que msnfix vient faire pour une infection dans ce genre, tu peux m expliquer?? ^^

kurtcobain : si tu n as plus de problemes, tu peux mettre résolu en haut de ton topic

geoffrey5 · Answer

Salut !!

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

- Va dans démarrer puis panneau de configuration 
- Double Clique sur l'icône "Comptes d'utilisateurs" 
- Clique ensuite sur désactiver et valide. 


télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le Bureau. 

déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Utilisateur anonyme · Answer

aller pour suivre

afideg · Answer

Bonjour geoffrey5, En effet, ta question au post # 15 peut se poser. 1°- L'internaute suppose une infection Beagle; or, et jusqu'à preuve du contraire kurtcobain87 ne joue pas avec des "crackes" (donc, d'où proviendrait cette hypothétique infection Beagle ?). 2°- Par contre, il annonce deux indices précis: - « un ami est venu me dire que je lui avait envoyé un mail avec comme titre du mail "FW: Hi" » - « il y a quelques mois de cela, j'ai reçu un mail identique; et par curiosité j'ai cliqué sur le lien du mail. » Ces deux éléments, relatifs à la boîte de réception de mailes, font penser à une infection MSN (principe de précaution). 3°- Il ajoute finalement: « Un lien qui proposait des MP4, consoles de jeux et autres à des prix défiant toute concurrence ». kurtcobain87, Cela (cette dernière phrase en 3°) fait penser à utiliser Navilog1 de IL-MAFIOSO; comme ceci, afin de se rassurer: 1°- Supprime éventuellement les versions de Navilog1 téléchargées précédemment. 2°- Désactive le « contrôle des comptes utilisateurs » (tu le réactiveras après ta désinfection): - Vas dans "démarrer" puis "panneau de configuration" - Double-clique sur l'icône "Comptes d'utilisateurs" - Clique ensuite sur "désactiver" et "valide" par [Entrée] - Après avoir désactivé l'UAC, il faut redémarrer le PC impérativement Désactiver l'UAC est nécessaire pour pouvoir faire fonctionner Navilog1 < https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html > < https://www.generation-nt.com/desactiver-supprimer-uac-user-account-control-windows-vista-astuce-24678-1.html > A)- Fais un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. - Arrête puis redémarre le PC. - Une fois redémarré, double-clique sur navilog1.exe pour lancer l'installation. - L'installation terminée, fais un clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis : Exécuter en tant qu'administrateur. C'est impératif. Laisse-toi guider. Au menu principal, choisis 1 et valide [OK]. Patiente jusqu'au message : *** Analyse Termine le ..... *** Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir. Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes. PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\fixnavi.txt Donne-moi le rapport SVP maintenant. Bonne chance Al

geoffrey5 · Answer

oui je sais j ai vu par apres que c était une infection msn...

Mais je pense que navilog ne servira à rien pour cette infection..

Apres msnfix, il faut faire un combofix

^^Marie^^ · Answer

Pour suivre

SLt Al.

afideg · Answer

Re, A)- Oui, kurtcobain87, je l'ai vu. Pas de problème là, non plus. Ton ANTIVIR a probablement dû contrer la tentative d'infection. Sans doute aussi tes analyses avec BitDefender et Nod32 avaient-elles supprimé des fichiers infectés ? B)- geoffrey5 va décortiquer le rapport de ComboFix. C)- En attendant, termine avec ce "Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr sous "Internet Explorer". Branche ton Disque Externe (clé USB) éventuellement - Clique sur "Démarrer Online-Scanner" ( en bas à droite de la page) . - Clique maintenant sur "J'accepte". - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. - Patiente pendant l'installation des "Mises à jour". Clic sur « Paramètres d'analyse » Coche la case "Étendue" >> Ok - Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ». - Sauvegarde puis colle le rapport généré en fin d'analyse. http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 > Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641 (par Morgane & nico_dodo) NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. D)- Et mets à jour ta console JAVA; comme ceci: Rends-toi sur ce lien < https://www.java.com/fr/download/ > afin de télécharger une version à jour. Clique sur Download Java Runtime Environment (JRE) 6 update 6 Dans la page suivante, choisis Windows dans Platform, coche I agree to the Java SE Runtime Environment 6 License Agreement et Continue Dans la nouvelle page, coche Windows Offline Installation, et clique sur jre-6u6-windows-i586-p.exe //15.21 MB. Tu l'installeras hors connexion Internet. Ensuite, vas dans "Panneau de configuration" > "Ajout/suppr.de programmes", et supprime tes anciennes versions E)- Désinstallateur de Norton 1°- (toutes versions) ==> http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924?Open&src=&docid=20040413131641928&nsf=SUPPORT%5CINTER%5Cnisintl.nsf&view=833aab0c51f1b15a88256da6006a0505&dtype=&prod=&ver=&osv=&osv_lvl= 2°- (Tu n'as pas besoin du CD. Il faut que tu télécharges et que tu exécutes le fichier Norton_removal.) ==> télécharge ce fichier ftp://ftp.symantec.com/public/francais/removal_tools/Norton_Removal_Tool.exe et lance-le. Prends tout ton temps Bonne chance Je ne reviens que tard ce soir Al.

geoffrey5 · Answer

afideg : << Je ne vois pas où tu as pu "dénicher" cette "règle": « Après msnfix, il faut faire un combofix ». >> VOICI UN LIEN QUI T EXPLIQUE LA PROCEDURE EN CAS DE VIRUS MSN (sur un autre forum) : https://www.luanagames.com/index.fr.html << Soit, il y a infection MSN, et alors MSNFix suffit. >> C EST FAUX...REGARDES LE LIEN ET TU COMPRENDRAS Kurtcobain : Refais un rapport hijackthis pour vérifier quelques choses stp

geoffrey5 · Answer

Ouvre hijackthis et cliques sur "do a system scan only"
Ensuite tu coches les lignes suivantes :

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) 
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) 


et cliques sur fix checked.

afideg · Answer

Re, Merci kurtcobain87, Kaspersky ne trouve plus aucune infection. Supprime Navilog1 et MSNFix. Et mets à jour ta console JAVA Termine la suppression de Norton/Symantec Salut geoffrey5 A)- Dans ton lien précédent, je ne lis nul part qu'il s'agisse d'une règle (à savoir "faire suivre obligatoirement MSNfix par ComboFix); en effet, land3, bien conscient de la question ajoute le 5-07-2007 à 11:26: « oui , il est vrai que l'infection évolue de jour en jour et donc sa suppression aussii ». B)- D'autre part, pour les deux lignes HJT que tu fais fixer: 1)- AA58ED58-01DD-4d91-8333-CF10577473F7 Voici son statut: Légitime = BHO googletoolbar.dll, googletoolbar*.dll, googlenav.dll, googletoolbar_en_*.**-big.dll, googletoolbar_en_*.*.**-deleon.dll Google Toolbar 2)- 2318C2B1-4965-11d4-9B18-009027A5CD4F Également légitime (avec cependant un doute). Le détail du doute ci-après: When Troj/BHO-DC is installed the following files are created: - \Content.IE5\od6fwfox\bc1[1].htm - \Google\googletoolbar1.dll The file googletoolbar1.dll is detected as Mal/Behav-004. The following registry entry is created to run Troj/BHO-DC on startup: • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run crtfmon - The file googletoolbar1.dll is registered as a COM object and Browser Helper Object (BHO) for Microsoft Internet Explorer, creating registry entries under: • HKCR\CLSID\{2318C2B1-4965-11d4-9B18-009027A5CD4F} • HKCR\Interface\{DA4DEAB2-9BAE-41DE-83EA-0916180F8AE4} • HKCR\TypeLib\{ED894DB9-2DC6-4CA5-8FDF-86763C582564} • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2318C2B1-4965-11d4-9B18-009027A5CD4F} Registry entries are set as follows: • HKCR\Googletoolbar.Google.1\CLSID (default) {2318C2B1-4965-11d4-9B18-009027A5CD4F} • HKCR\Googletoolbar.Google\CLSID (default) {2318C2B1-4965-11d4-9B18-009027A5CD4F} Registry entries are created under: • HKCR\Googletoolbar.Google As-tu vérifié, ou fait vérifier les clés en question ? Par exemple, déjà en ComboFix ? Ou mieux via "Recherche en REGEDIT" ? Merci Bonne nuit Al.

kurtcobain87 · Answer

Bonjour Al!

J'ai supprimé les deux logiciels que tu m'a demandé de supprimer, Norton est en toute logique désinstallé à jamais de mon PC, mais par contre je n'arrive pas à mettre à jour et ce malgré les liens que tu m'a fourni en cas de problème.

En effet sur la age de téléchargement de Java, une barre d'information s'ouvre ( Au même endroit que pour télécharger un active X) et le dis ceci:

"Vos paramètres de sécurité ne vous permettent pas aux sites Web d’utiliser les contrôles ActiveX installés sur cet ordinateur. Cette page ne sera peut-être pas affichée correctement. Cliquez ici pour obtenir plus d’options..."

Malgré les diverses aides je n'arrive pas à régler le problème.
As-tu une ptite idée de la chose ? Car cela ne m'avait jamais fait celà auparavant.

geoffrey5 · Answer

afideg : c est une procédure que je fais faire en cas de virus et en général ca marche vraiment..Maintenant interpretez-la comme vous voulez mais en général les personnes à qui je donne cette procédure de désinfection en cas de virus msn me disent que ca marche et qui n envoient plus de liens automatiquement..Ma soeur en a eu un aussi et msnfix ne suffisait pas...Et pour terminer concernant les lignes que j ai fais fixé : je sais bien qu elles sont légitimes mais ce sont des processus superflus au démarrage du systeme qui pourraient peut etre faire gagner un peu de temps au démarrage de windows donc gagner en performance..

Kurtcobain : je crois que tu dois accepter l active x pour pouvoir télécharger java..Et pour revenir à ton sujet, est ce que tu as toujours le virus apres toutes ces manips ??

geoffrey5 · Answer

Et quand tu cliques dessus pour afficher les options, il n y a pas écrit "télécharger le fichier" ??

Et tu n as pas demandé à ton ami si il recevait encore des liens de toi ??

Le virus commence par envoyer des liens pour se propager mais ensuite il fait devenir msn instable..Un ami ne s avait meme plus se connecter avec son adresse à force d attendre trop longtemps

afideg · Answer

Bonjour kurtcobain87,

Je suis surpris que tu aies ce souci à la mise à jour de la console JAVA.

A)- Regarde d'abord ceci (comme le signalait geoffrey5): 
https://www.driverscloud.com/en/features  
(qui apparaît en cours de procédure de téléchargement de la mise à jour, sous la barre d'adresses).

B)- Si ça ne va pas, alors il faut vérifier le paramétrage des ActiveX; comme ceci : 
•- Démarrer > (Parametres) > Panneau de configuration > Options Internet 
ou encore: "Sur la fenetre du navigateur Internet" > Outils > Options Internet 
•- Dans la fenêtre qui s'ouvre, sélectionnez "l'onglet Sécurité". 
•Après cela, cliquez sur le bouton radio[Personnaliser le niveau...]
•- Une nouvelle fenêtre s'ouvre, dans la partie qui se nomme "Parametres de securité",
effectuez alors les réglages suivants : 
- A la ligne : "Contrôles ActiveX reconnus sûrs pour l'écriture de scripts", 
cochez la case Activer.
- Puis, à la ligne : "Contrôles d'initialisation et de scripts ActiveX non 
marqués comme sécurisés", cochez la case Désactiver.
- Maintenant, à la ligne : "Exécuter les contrôles ActiveX et les plugins", 
cochez la case Activer.
- Après cela, à la ligne : "Télécharger les contrôles ActiveX non signés", 
cochez la case Désactiver.
- Et pour finir, à la ligne : "Télécharger les contrôles ActiveX signés", 
cochez la case "Demander".
- Cliquez sur le bouton OK, afin que les modifications soient 
prises en compte.

C)- Autres méthodes ici:
• Vérification de ta version actuelle: https://www.java.com/fr/download/uninstalltool.jsp 
• Mise à jour de java: “Démarrer” > Panneau de configuration -> ouvrir Java en cliquant sur son icône -> choisir l'onglet" Mise à Jour" ->clic sur "Mettre à Jour maintenant" à la fin, " appliquer " > ok ! 
• Dernière version Java Runtime Environment 1.6.0.6 disponible ici : 
https://filehippo.com/download_jre_32/?ex=CORE-116.0

Tu auras (peut-être) des alertes de tes outils de protection ==> autorise-les.
Une fois la mise a jour effectuée tu vas dans "Ajout/suppression de program" et tu supprimes toutes les autres update de java; il ne doit te rester que celle que tu viens de faire.



Pour geoffrey5,

Pour une infection MSN (relative à ce genre de messages, comme relatés par kurtcobain87), il suffit de lancer MSNFix.
Pas besoin de faire suivre par ComboFix; sinon, le concepteur (qui est un ami) de MSNFix aurait déjà abandonné son programme depuis longtemps (puisqu'il s'avérerait incomplet, voire inutile).
Aussi, pour l'analyse d'un log HJT, évite le robot !
Pour le reste, je n'ai rien à dire.
Le PC de l'internaute semble correct maintenant.


Bonne journée
Bonne continuation
Al.

Infecté par Beagle?! Help Me SVP :=(

22 réponses

Votre réponse

Discussions similaires

Newsletters