un bagle fantome ?

Question

Bonjour,

J'ai je crois un bagle récalcitrant sur mon portable sous vista SP1 et qui n'a jamais été détecté par elibagla avec un certain nombre de fichiers inacessibles et ce malgré de multiples passages du logiciel en mode sans echec et en mode normal.

Combofix ne fonctionne pas (la fenêtre apparait et disparait aussitôt

Un des logiciels proposé sur le forum m'indique ceci :

 +- FindB mis a jours le  30/08/08 par Chiquitine29



 +- Recherche de fichier infectueux :




 +- Recherche dans : C:\Windows\Prefetch :




 +- Recherche dans : C:\Windows\system32 :




 +- Recherche dans : C:\Windows\system32\drivers :


C:\Windows\system32\drivers\mdelk.exe Présent!! 
C:\Windows\system32\drivers\downld Présent!! 


 +- Recherche dans : C:\Users\Gr‚gory\AppData\Roaming :




 +- Registre :


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    Kernel and Hardware Abstraction Layer    REG_SZ    KHALMNPR.EXE
    SunJavaUpdateSched    REG_SZ    "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    avgnt    REG_SZ    "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    Adobe Reader Speed Launcher    REG_SZ    "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    AppleSyncNotifier    REG_SZ    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    Apoint    REG_SZ    C:\Program Files\Apoint\Apoint.exe
    NvCplDaemon    REG_SZ    RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    NvMediaCenter    REG_SZ    RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    OODefragTray    REG_SZ    C:\Windows\system32\oodtray.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Sidebar    REG_SZ    C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    msnmsgr    REG_SZ    "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    Neuf Media Center    REG_SZ    "C:\Program Files\Neuf\Media Center\MediaCenter.exe"
    ccleaner    REG_SZ    "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
    SpybotSD TeaTimer    REG_SZ    D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    ProcessManager    REG_SZ    D:\Program Files\Bill2's Process Manager\ProcessManager.exe -minimized
    Orb    REG_SZ    "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
    AlcoholAutomount    REG_SZ    "D:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
    WMPNSCFG    REG_SZ    C:\Program Files\Windows Media Player\WMPNSCFG.exe



 +- Registre, recherche Srosa :


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
    NextInstance    REG_DWORD    0x1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
    NextInstance    REG_DWORD    0x1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA\0000


 +- Recherche d autres infections :

 


+- Recherche terminee !



 +- Execute le : 31/08/2008 a 19:42:12,42

Merci si vous avez une idée à proposer ;)

Utilisateur anonyme · Accepted Answer

supprime combofix 

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Avant de telecharger clic sur enregistrer renome le en killbagle et enregistre le sur le bureau 


-> Double clique sur killbagle.exe. 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix : 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 


Une fois fait, sur ton bureau double-clic sur killbagle.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 


-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Utilisateur anonyme · Answer

salut

essais ceci stp ;


Télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
Citation :


C:\Windows\system32\drivers\mdelk.exe Présent!!
C:\Windows\system32\drivers\downld Présent!!

 
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.


bizz

chimay8 · Answer

Désactive l'UAC (User Account Control ou Contrôle de Compte Utilisateur) le temps de la désinfection (tu le réactiveras après ta désinfection): 
&#8226; Va dans Panneau de Configuration puis Comptes d'Utilisateurs. 
&#8226; Clique sur Activer ou désactiver le contrôle des comptes utilisateurs. 
&#8226; Décoche la case Utiliser le contrôle des comptes utilisateurs pour vous aider à protéger votre ordinateur. 
&#8226; Clique sur OK pour enregistrer la modification et redémarre ton PC lorsque cela t'est demandé.

Télécharge combofix.exe 
 http://download.bleepingcomputer.com/sUBs/ComboFix.exe     
sauvegarde le sur ton bureau sous le nom Combo-Fix.exe 
      [*]***Note : il est important de le renommer dès la sauvegarde comme indiqué.***
      [*]Double-clique Combo-Fix.exe afin de l'exécuter et suis les instructions.
      [*]Lorsque l'analyse sera complétée, un rapport apparaîtra.
      [*]Copie-colle ce rapport dans ta prochaine réponse.

Utilisateur anonyme · Answer

Bonsoir ,

pour suivre merci

ps : biz chimay

afideg · Answer

Ok chimay8,
Merci pour l'info
Bonne chance
Al.

Chiquitine29, regarde ce topic à la dérive http://www.commentcamarche.net/forum/affich 8158745 probleme conexion depuis virus bagle    Bonne chance.

Al

afideg · Answer

gregR,

Bonsoir
Suis l'ordre chronologique des postes; sinon on s'y perd

Merci
Al.

Utilisateur anonyme · Answer

re

c'est facile de dire des choses quand la moitié se fait en MP ^^

m'enfin

Utilisateur anonyme · Answer

lol merci sans présent c + efficace 

sorry

Utilisateur anonyme · Answer

Salut Greg je prend la suite 

supprime FindB 

Telecharge FindB :

- Fas un clic droit sur le lien, enregistrer sous .... sur le bureau 


---> http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.exe


1) Double clic sur FindB.exe et choisi option 1 (recherche)

2) Post le rapport FindB.txt dans ton prochain message

Note : le rapport FindB.txt est sauvegardé a la racine du disque

gregR · Answer

no problem :) combofix ne fonctionne tjrs pas malgré l'UAC désactivé et g encore des symptômes d'application non valide concernant mon antivirus antivir ... quelle autre procédure pouvez vous me conseiller ?

gregR · Answer

merci chiquitine voila le post demandé :
+- FindB mis a jours le  30/08/08 par Chiquitine29



 +- Recherche de fichier infectueux :




 +- Recherche dans : C:\Windows\Prefetch :




 +- Recherche dans : C:\Windows\system32 :




 +- Recherche dans : C:\Windows\system32\drivers :




 +- Recherche dans : C:\Users\Gr‚gory\AppData\Roaming :




 +- Registre :


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    Kernel and Hardware Abstraction Layer    REG_SZ    KHALMNPR.EXE
    SunJavaUpdateSched    REG_SZ    "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    avgnt    REG_SZ    "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    Adobe Reader Speed Launcher    REG_SZ    "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    AppleSyncNotifier    REG_SZ    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    Apoint    REG_SZ    C:\Program Files\Apoint\Apoint.exe
    NvCplDaemon    REG_SZ    RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    NvMediaCenter    REG_SZ    RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    OODefragTray    REG_SZ    C:\Windows\system32\oodtray.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Sidebar    REG_SZ    C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    msnmsgr    REG_SZ    "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    Neuf Media Center    REG_SZ    "C:\Program Files\Neuf\Media Center\MediaCenter.exe"
    ccleaner    REG_SZ    "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
    SpybotSD TeaTimer    REG_SZ    D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    ProcessManager    REG_SZ    D:\Program Files\Bill2's Process Manager\ProcessManager.exe -minimized
    Orb    REG_SZ    "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
    AlcoholAutomount    REG_SZ    "D:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
    WMPNSCFG    REG_SZ    C:\Program Files\Windows Media Player\WMPNSCFG.exe



 +- Registre, recherche Srosa :


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
    NextInstance    REG_DWORD    0x1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
    NextInstance    REG_DWORD    0x1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA\0000


 +- Recherche d autres infections :

 


+- Recherche terminee !



 +- Execute le : 01/09/2008 a  0:15:35,43

Utilisateur anonyme · Answer

Télécharge ToolsCleaner sur ton bureau. 
--> 
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
http://pc-system.fr/ 

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Utilisateur anonyme · Answer

passe a combofix suis les instructions :

http://www.commentcamarche.net/forum/affich 8193857 un bagle fantome#20

Utilisateur anonyme · Answer

Telecharge malwarebytes 

-> http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l´instale; le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression". 

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection. 

si il t´es demandé de redemarrer > click sur "yes". 

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum. 
Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log

afideg · Answer

Bonsoir à tous

Euh!

Renomme ComboFix.exe en MDELK.EXE

As-tu supprimé tous les cracks connus sur ton PC
Pour poster et exécuter nos applications, utilises-tu une clé USB ?

à+..
Al.

afideg · Answer

Bonsoir

Oui, je le crains
Fais ceci:

1 Désactive la restauration système. 
Clic droit sur poste de travail > propriétés > onglet restauration système 
Coche "désactiver la restauration système sur tous les lecteurs". 
clic sur ok pour valider 

2 Télécharge l'outil Flash_Disinfector de sUBs: 
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe 
Enregistre Flash_Disinfector.exe sur ton bureau. 
Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau). 
Double clique sur Flash_Disinfector.exe pour l'exécuter. 
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra : 
Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés. 
Puis clic sur Ok 
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!] 
Appuies ensuite sur OK, pour faire réapparaître le bureau. 
S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par une.

3 - Ensuite fais analyser par précaution ton pc par un AV en ligne: 
https://www.kaspersky.fr/downloads 
Clic sur le bouton [Kaspersky Online Scanner] et laisse toi guider. 
Comme cible d'analyse, choisis le « Poste de travail ». 
- Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ». 
- Sauvegarde puis colle le rapport généré en fin d'analyse.
 http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif 
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif 
AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3  >
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html  , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641  (par Morgane & nico_dodo)


Si le rapport n'indique aucune infection : 
4 Réactive la restauration système. 
Clic droit sur poste de travail > propriétés > onglet restauration système 
Décoche "désactiver la restauration système sur tous les lecteurs". 
Clic sur ok pour valider. 


Bonne chance
Al.

gregR · Answer

bonsoir,

Le scan en ligne a trouvé un seul virus qui était en fait postérieur à l'infection de mon pc .... en fait j'ai réinstallé à la suite antivir qui maintenant fonctionne correctement :)



Thursday, September 4, 2008
Operating System: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Wednesday, September 03, 2008 18:16:51
Records in database: 1188489
Scan settings
Scan using the following database 	extended
Scan archives 	yes
Scan mail databases 	yes
Scan area 	My Computer
C:\
D:\
E:\
F:\
G:\
H:\
I:\
Scan statistics
Files scanned 	192332
Threat name 	1
Infected objects 	1
Suspicious objects 	0
Duration of the scan 	03:58:17

File name 	Threat name 	Threats count
D:\eMULE\serial.keygen.crack.generator.EBP - Paye - Edition 2008.rar	Infected: P2P-Worm.Win32.Kapucen.b	1	
The selected area was scanned.

Peut on me considérer comme sorti d'affaires ? :)

Utilisateur anonyme · Answer

* pour supprimer les outils/fix utilisés : 

Télécharge ToolsCleaner sur ton bureau. 
--> 
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
http://pc-system.fr/ 

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

afideg · Answer

Bonsoir Chiquitine,

Pourquoi ne fais-tu pas supprimer ce crack ?
D:\eMULE\serial.keygen.crack.generator.EBP - Paye - Edition 2008.rar Infected: P2P-Worm.Win32.Kapucen.b 1 
Serait-il innocent ?  ==> je veux dire sans danger .
Peux-tu m'en parler SVP ?

Merci
Al

Utilisateur anonyme · Answer

Salut Al.

Le scan en ligne a trouvé un seul virus qui était en fait postérieur à l'infection de mon pc

Utilisateur anonyme · Answer

plus de soucis ??

gregR · Answer

merci à Al aussi :)

afideg · Answer

Salut gregR,

Je n'ai rien fait, à côté de ce qu'a fait Chiquitine.

Mais dis-moi, comment te sers-tu de ce keygen (téléchargé sur e-Mule 0.48A) à partir de ton PC ?
J'ai toujours pensé qu'il devait s'agir d'un composant externe indépendant.
Si tu avais été inscrit, nous aurions pu en discuter un peu plus librement en messagerie privée.

Al.

afideg · Answer

Re,

Merci, mais je sais à quoi sert un keygen.
Je reste persuadé de l'inefficacité de tel programme téléchargeable; sur la Mule qui plus est !
En effet les producteurs de logiciels "sérieux" connaissent le modus operandi de ces engins et verrouillent alors leurs logiciels piratés.
Et c'est pareil pour les soi-disant générateurs de mots de passes ==> ne pas jouer avec ça !

Cit. «  ... enfin pour celui ci je l'ai mis à la poubelle  ».
Parfait, tu as eu raison.
Je pense que ton PC en sera ravi ; ... et toi avec.

Ne soyons cependant pas naïfs.

Al.

afideg · Answer

Coucou FunnyGirl`,
Al.

Un bagle fantome ?

25 réponses

Votre réponse

Discussions similaires

Newsletters