Posez votre question »

Comment supprimer le virus Beagle/Bagle ?

Avril 2015

EDIT : Bagle n'existe plus depuis ~2011 - Si vous avez des problèmes pour installer votre antivirus ou autres, ce n'est pas ce malware qui en est la cause.
D'autre part, les erreurs Win32 indiquent que le fichier n'a pas une structure correcte, il est endommagé, cela peux avoir plusieurs sources (problème de connexion => téléchargement corrompu, problème de disque etc).



Le malware Bagle est en réalité un ver informatique se propageant essentiellement par les logiciels P2P et via de faux cracks (piratage de logiciels), ainsi que par mail.
L'internaute croyant télécharger un crack installe lui-même le ver sur son ordinateur car le fichier.exe contenu dans l'archive est en réalité le ver Bagle !
Les noms des logiciels crackés sont très divers et touchent une gamme assez étendue de types de programmes de la vie de tous les jours pour se "camoufler" !
Ce ver est en général assez coriace à supprimer.

Symptômes dus à l'infection


Lorsqu'il est exécuté, le ver affiche une fenêtre qui demandera de sélectionner un fichier à cracker. En fait, c'est un leurre car bien évidemment, il ne crackera aucun fichier !



Message obtenu après recherche :



Sa première action est d'infecter un fichier sain du démarrage : après une lecture du registre, il supprimera la clé safeboot qui permet le démarrage en mode sans échec. Il neutralise aussi le fonctionnement de l'antivirus et du pare-feu, et empêche leur réinstallation. Vous vous rendrez compte assez vite qu'une grande partie de programmes de sécurité ne pourront pas s'exécuter avec comme message d'erreur : "n'est pas une application win32 valide"

Les fichiers de l'infection Bagle sont :
  • wintems.exe
  • hldrrr.exe
  • srosa.sys
  • srosa2.sys
  • winfilse.exe
  • flec006.exe
  • mdelk.exe
  • winupgro.exe
  • wfsintwq.sys
  • 111wfs1intwq.sys
  • 11s11ro1s1a2.sys
  • ...


Attention ! Ne surtout pas chercher à redémarrer en mode sans échec en passant par la commande msconfig sous peine de voir Windows redémarrer indéfiniment en boucle !

Préliminaire

  • Important 1 : si vous avez Vista, vous devez désactiver l'UAC le temps de la désinfection.
  • Important 2 : si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il risque de gêner la désinfection.
    • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
    • A gauche, cliquez sur Outils, puis sur Résident.
    • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :



Méthodes de désinfection


Plusieurs solutions s'offrent à vous !

Réparer l'accès au mode sans échec


Vous pouvez commencer par réparer l'accès au mode sans échec, en téléchargeant l'utilitaire suivant ou l'un de ces fichiers *.reg (selon la version de Windows). .

Première méthode : Combofix

  • Faire un clic droit ici.
  • Choisir : Enregistrer la cible du lien sous
  • Choisir le Bureau comme destination.
  • Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
  • Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de rendre ainsi le fix totalement inefficace.
  • Déconnectez-vous d'Internet et fermez toutes les applications et programmes.
  • Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista, il faut cliquer droit sur CCM.exe et choisir Exécuter en tant qu'administrateur).
  • Acceptez le message d'avertissement et acceptez l'installation de la Console de récupération (Sous XP).
  • Le rapport sera créé sous la racine : C:\Combofix.txt



Seconde Méthode : Malwarebytes'


Ce très bon outil a la particularité de détecter la totalité de l'infection Bagle, cependant il n'est efficace qu'à condition d'utiliser FindyKill juste avant pour neutraliser le fichier infecté repéré en 04 (HijackThis) ou si cette 04 a déjà été supprimée auparavant.

  • Téléchargez MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre Bureau.
  • Installez le logiciel.
    • S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici.
  • Faîtes les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
  • Démarrez en mode sans échec.
  • Lancez MalwareBytes' Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous vos disques durs.
  • Une fois le scan terminé, cliquez sur supprimer (Si un message demande à redémarrer le PC, acceptez !)


  • Un rapport sera généré, enregistrez-le de manière à le retrouver.

Troisième Méthode : fs-fixbagle


Ce logiciel est spécialement concçu pour erradiquer bagle pour le télécharger aller sur ce lien:
http://www.forospyware.com/attachments/forum16/1726d1251240287-fs-fixbagle.zip

site ici: http://www.forospyware.com/t195274.html#post820239

Astuces Pratiques

Ligne de commande utile pour XP/Vista


Cette astuce est principalement destinée aux utilisateurs avertis, ainsi qu'aux personnes aidant dans les forums Virus/Sécurité à qui elle sera très utile.
Le faux crack qui se copie à la place d'un fichier sain a la particularité d'utiliser un protecteur de fichier : Themida.
Cette commande est capable de révéler la présence de fichiers infectés liés à Bagle et camouflés par ce protecteur de fichier, ouvrez une invite de commande et entrez la ligne suivante :
findstr /S /I /M /L "Themida" C:\*.exe>>"%systemdrive%\Startvir.txt"
Le fichier Startvir.txt qui sera crée sous la racine C:\Startvir.txt listera les fichiers suspects trouvés, il vous suffira après interprétation des résultats de supprimer les fichiers.

Notez qu'il existe encore plusieurs autres méthodes pour se débarrasser de ce ver !

Vérification


Il est conseillé de faire un scan en ligne pour vérifier qu'il ne reste pas des applications infectées.
Scanner en ligne avec Kaspersky.
http://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender
Autres antivirus en ligne

Désactivation/Réactivation de la restauration système


Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés (Par Bagle par exemple) :

Reinstallation des logiciels de protections


Bagle neutralisant de nombreux logiciels de désinfections (antivirus, antispyware, parefeu...) , il est recommandé en cas de dysfonctionnement de les désinstaller puis de les réinstaller après avoir désinfecté son pc.

Si vous rencontrez des difficultés à supprimer ce ver, qui, ajouté à d'autres infections, peut être très difficile à déloger, n'hésitez pas à poster un message dans le forum Virus/Sécurité en expliquant brièvement les opérations effectuées et les problèmes rencontrés.
Pour une lecture illimitée hors ligne, vous avez la possibilité de télécharger gratuitement cet article au format PDF :
Comment-supprimer-le-virus-beagle-bagle.pdf

Réalisé sous la direction de , fondateur de CommentCaMarche.net.

A voir également

Dans la même catégorie

¿Cómo eliminar el virus Beagle/Bagle?
Par Carlos-vialfa le 26 juin 2008
Virus Beagle/Bagle entfernen
Par jedtheboss le 23 novembre 2009
Como remover o vírus Beagle/Bagle ?
Par pintuda le 1 septembre 2009
Publié par green day. - Dernière mise à jour par noctambule28
Ce document intitulé «  Comment supprimer le virus Beagle/Bagle ?  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.