Help: trojan bagle.gen et bagle.afs!

dodoche17 Messages postés 5 Statut Membre -  
benurrr Messages postés 9766 Statut Contributeur sécurité -
Bonjour,
il y a t'il quelqu'un pour m'aider à éradiquer ces trojans? tous les symptômes sont présents mais j'ai besoin d'aide pour effectuer les manipulations de désinfections et pour comprendre les rapports? Je vous remercie d'avance! Je n'y arrive pas tout seul et j'ai l'impression que la situation empire!
Configuration: Windows XP
Internet Explorer 6.0

5 réponses

  1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Bonjourrr;

    poste un rapport hijackthis (outil de diagnostic)
    Télécharge http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    --) Enregistre HJTInstall.exe sur ton bureau
    --) Double-clique sur HJTInstall.exe pour lancer le programme
    --) Par défaut, il s'installera içi C:\Programme Files\Trend Micro\HijackThis
    --) Accepte la license en cliquant sur le bouton "I Accept"
    --) Choisis l'option "Do a system scan and save a log file"
    --) Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
    --) Clique sur "Édition -> Sélectionner tout", puis sur "Édition -> Copier" pour copier tout le contenu du rapport
    --) Colle le rapport que tu viens de copier sur ce forum
    --) Ne fixe encore AUCUNE ligne,
    0
  2. dodoche17 Messages postés 5 Statut Membre
     
    bonjour benur et merci de me consacrer un peu de temps, j'en ai vraiment besoin... Voici donc le rapport hijacktjis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:51:19, on 14/11/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\PrevxCSI\prevxcsi.exe
    c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    C:\Program Files\PrevxCSI\prevxcsi.exe
    C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    C:\windows\system\hpsysdrv.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\HP\KBD\KBD.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Virus\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [IS CfgWiz] c:\Program Files\Norton Internet Security\cfgwiz.exe /GUID {257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"
    O4 - HKLM\..\Run: [URLLSTCK.exe] c:\Program Files\Norton Internet Security\UrlLstCk.exe
    O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
    O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: CSIScanner - Prevx - C:\Program Files\PrevxCSI\prevxcsi.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: IS Service (ISSVC) - Symantec Corporation - c:\Program Files\Norton Internet Security\ISSVC.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    0
  3. dodoche17 Messages postés 5 Statut Membre
     
    J'ai donc reussi à faire un scan avec antivir puis un scan avec hijackthis. Le ver m'empecher avant d'effectuer le moindre controle. Meme en mode sans echec ou je ne pouvais accéder à cause de ce même virus. J'ai donc fait une réparation de windows qui a conservé mes données mais pas toutes: lesdonnées des autres session sont présentes mais pas mes données. Le pc m'indique que l'accés m'est refusé pour accéder à ce fichier. Cepandant, je garde espoir car lmon espace disque est identique. Comment faire pour y accéder? Mais chaque chose en son temps, mais je préférais quand même détaillé les différents problèmes rencontrés; et quelles galères!
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      Telecharge FindyKill sur ton bureau :

      http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

      --> Lance l installation avec les parametres par default

      --> Double clic sur le raccourci FindyKill sur ton bureau

      --> Au menu principal,choisi l option 1 (Recherche)

      --> Post le rapport FindyKill.txt

      Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
      0
  4. dodoche17 Messages postés 5 Statut Membre
     
    re bonjour,,,,
    voila j'ai essayé de faire le scan avec findykill. plusieurs messages d'erreur me sont apparus:
    juste aprés la selection 1 un message se répète pal de fois"...n'est pas reconnue en tant que commande interne ou externe, un programme executable ou un fichier de commande."
    puis pendant la suite de l'analyse une boite de dialogue avec en en tête cmd.exe me dit"pas de disque dans le lecteur lecteur\Device\Hardisk1\DR3" . en cliquand sur recommencer ça ne marche pas, alors je l'ignore puis le même message reapparait avec des chiffres différents pour hardisk et DP????
    Je poste quand même le rapport, si jamais tu comprends quelque chose...

    ----------------- FindyKill V4.700 ------------------

    * User : Compaq_Propri‚taire - NOM-EB85C523610
    * Emplacement : C:\Program Files\FindyKill
    * Outils Mis a jours le 13/11/08 par Chiquitine29
    * Recherche effectuée à 0:15:12 le 15/11/2008
    * Windows XP - Internet Explorer 6.0.2900.2180

    ((((((((((((((((( *** Recherche *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\PrevxCSI\prevxcsi.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    C:\windows\system\hpsysdrv.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\HP\KBD\KBD.EXE
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\PrevxCSI\prevxcsi.exe
    C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Presence des fichiers dans C:

    »»»» Presence des fichiers dans C:\WINDOWS

    »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

    Found ! - C:\WINDOWS\prefetch\FLEC006.EXE-184D3875.pf
    Found ! - C:\WINDOWS\prefetch\MDELK.EXE-0EF461CE.pf
    Found ! - C:\WINDOWS\prefetch\WINTEMS.EXE-377E42D4.pf

    »»»» Presence des fichiers dans C:\WINDOWS\system32

    »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

    »»»» Presence des fichiers dans C:\Documents and Settings\Compaq_Propri‚taire.NOM-EB85C523610\Application Data

    »»»» Presence des fichiers dans C:\DOCUME~1\COMPAQ~1.NOM\LOCALS~1\Temp

    »»»» Presence des fichiers dans C:\Documents and Settings\Compaq_Propri‚taire.NOM-EB85C523610\Local Settings\Temporary Internet Files\Content.IE5

    --------------- [ Registre / Startup ] ----------------

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    SunJavaUpdateSched REG_SZ C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    hpsysdrv REG_SZ c:\windows\system\hpsysdrv.exe
    RTHDCPL REG_SZ RTHDCPL.EXE
    Alcmtr REG_SZ ALCMTR.EXE
    ATIPTA REG_SZ "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    KBD REG_SZ C:\HP\KBD\KBD.EXE
    Recguard REG_SZ C:\WINDOWS\SMINST\RECGUARD.EXE
    PCDrProfiler REG_SZ
    PS2 REG_SZ C:\WINDOWS\system32\ps2.exe
    Reminder REG_SZ "C:\Windows\Creator\Remind_XP.exe"
    HP Software Update REG_EXPAND_SZ C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
    avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    --------------- [ Registre / Clés infectieuses ] ----------------

    --------------- [ Etat / Services ] ----------------

    +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

    Ndisuio - Type de démarrage = 3

    Ip6Fw - Type de démarrage = 3

    SharedAccess - Type de démarrage = 2

    wuauserv - Type de démarrage = 2

    wscsvc - Type de démarrage = 2

    --------------- [ Recherche dans supports amovibles] ----------------

    +- Informations :

    C: - Lecteur fixe

    D: - Lecteur fixe

    E: - Lecteur de CD-ROM

    J: - Lecteur amovible

    +- Contenu de l'autorun : E:\autorun.inf

    [AutoRun]
    OPEN=autorun.exe

    +- presence des fichiers :

    Found ! [30/11/2004 12:01][---hs----] - D:\info.exe
    Found ! [18/05/2007 04:26][-r-------] - E:\autorun.inf

    --------------- [ Registre / Mountpoint2 ] ----------------

    -> Not found !

    ------------------- ! Fin du rapport ! --------------------
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. dodoche17 Messages postés 5 Statut Membre
     
    Au fait j'ai un disque dur exyerne . Je l'ai débranché pour éviter une propagation du virus, cepandanr si je veux eradiquer le virus, peut être présent sur mon DDexterne ce serait mieux ou pas? ce ver est il dangereux pour la protection des données?
    J ai déja perdu les données de ma session(dossier inaccessible mais disque toujours la même utilisé/capacité) soit par la réparation de Xp ou par le ver qui se protège? et du coup est ce que les scans peuvent regarder dans cette zone car c'est dans mes données que le ver est apparu...?!
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      oui et relance findykill
      0