Infecte par bagle, quelles solutions ? [Résolu]

au fait, j´ai oublie de dire que j´avais aussi essaye le redemarrage sans echec (qui fonctionne) mais je crois que ca ne change rien

au dernier redemarrage :
Prevention de lexecution des donnees
Pour proteger votre ordinateur, windowz a ferme ce programme
Nom : Generic Host Process for Win32 Services
Editeur : Microsoft corporation

essaye d'aller sur ce site ca pourra peut etre t'aider
salut--
Qui cherche trouve...

salut, de quel site tu parles ? de celui-ci ? O_o


Encore quelques precisions :

message quand je lance avast : C:\.......\ashAvast.exe n´est pas une application win32 valide

au redemarrage j´ai aussi eu un message de windows qui avait bloque un logiciel dangereux pour le systeme (Host... j´ai pas le nom complet parce que ca s´est ferme trop vite).

j´ai aussi parfois un petit ecran bleu vif avec des notes quand j´allume le pc mais c´est hyper court et j´ai jamais le temps de lire ce que ca dit.



voila merci davance pour les reponses

Bonjour,

* Telecharges Hijackthis ici :
http://www.trendsecure.com/portal/en-US/tools/Security_tools/hijackthis

* Fermes tous les programmes en cours

* Executes le en cliquant sur :
Do a scan and save a log file

* Le rapport s'ouvre sur le bloc-note
-- Enregistres le et postes son contenu

salut,

dans le dernier rapport de findykille, on dit que des fichiers ont ete supprime dans C\documents and settings\moi\local settings\temp ; je vais voir ce qu il y a et j´ai plein de fichiers .tmp forcement, qq dossiers qui semblent etre des installations ratees pour cause d´arret de lordi qui surchauffait, et des fichiers .bin dans toutes les langues mais illisibles : puis-je supprimer ca ?

de plus quand jai du installer combofix, findykill, j´ai telecharge sur un autre pc, mis sur usb puis colle sur mon bureau, c´est pas grave ? J´ai vu qu´on insistait bcp pour qu´il soit mis direct sur le bureau mais vu que j´ai pas le net sur lautre...

salut ! merci pour la reponse

j´ai fait ce que tu dis mais quand je lance hijackthis j´ai le meme message que pour avast :
c:\program files\trend micro\hijackthis\hijackthis.exe n´est pas une application win 32 valide

Re,

* Telecharges Combofix :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
( avant de le telecharger, cliques sur Enregistrer et renomme le en " KillBaglle " ).

* Double-clique sur KillBagle.exe
--> un pop apparait, cliques sur oui
( Il est conseillé d'installer la console de recuperation )

* Choisis la langue et tapes sur la touche 1 ( yes) pour demarrer le scan

/!\ Ne touches ni à ta souris, ni à ton clavier pendant le scan /!\

* En fin de scan, il est possible que Combofix ait besoin de redemarrer le pc
pour finaliser la desinfection, laisses le faire..

* Une fois le scan terminé, postes le rapport généré.

re

c´est quoi la console de recuperation ?

j´ai donc mis eligable et le combofix qui etait sur mon bureau a la corbeille, enregistre combofix en tant que Killbaglle sur ma cle usb, transfere sur mon pc, colle killbaggle sur mon bureau, lance lapplication.
pop up "etes vous certain de vouloir vfermer visage on ?" (je crois que c le log de la webcam.. je sais pas trop ce que ca vient faire la...) je dis oui.
puis un ecran bleu se lance, un petit moment, un autre pop up qui me donne un message en me disant de noter qq ch que je n´ai pas eu le temps de noter (c´est malin hein...) a propos de logiciels\logitech.

puis l´ordi s´est redemarre mais je ne crois pas que combofix alias killbaglle soit en train de fonctionner.. je le relance ?

Re

* C'est quoi la console de recuperation ?
--> ça te permet en cas de plantage du pc, de revenir avant l'utilisation de combofix...

* Il faut fermer toutes les applications en cours
avant l'utilisation de comboFix !

---> soit un peu plus explicite :
Combofix fonctionne ?
y a t-il eu un redemarrage ?

* Regardes si tu as un rapport à C:\Combofix.txt

oui, je croyais bien avoir fermé toutes les applications en cours avec d´utiliser combofix :s ...

il y a bien eu un redemarrage, tout ce qu´il y a de plus normal. mais je crois que combofix n´avait encore rien commencé. (juste un ecran bleu avec un _ clignotant en haut a gauche)

deuxieme tentative, je relance combofix, et la je crois que ca marchait correctement mais l´ordi a surchauffe et s´est eteint brusquement. A l´allumage deux (?) ecrans de vérification du systeme de fichiers sur c: ...

je n´ai pas de rapport de combofix.


(en tout cas j´apprécie beaucoup l´aide apportée ! merci..)

Re,

* Le rapport est à la racine du disque dur :
C:\combofix.txt

* pourrais tu poster son contenu, stp !

re !

bon benm combo fix me demande si je veux installer la console de recuperation, je le veux mais je n´ai pas de connexion internet sur le pc a sauver, comment faire ? Y a-t-il un lien direct vers cette console de recuperation pour que je puisse l´installer grace a ma cle usb ?

euh, oui, desolee mais je n´ai pas de rapport combofix, vu que ca ne s´est pas encore lance et terminé. Je voudrais dabord mettre la console de recuperation au cas ou ca tournerait mal.

salut

quand je lance combofix, il s´arrete peu apres suppression des fichiers et j´ai un ecran bleu sur fond noir de windows qui me dit qu´il y a un probleme et qu´il va s´arreter pour prevenir tout dommage.
je precise que je fais ca sans console de restauration (pas trouve...)
et que je n´ai pas de fichier combofix.text

ohlala c´est desesperant tout ca...

Slt,

Feelgood1 [bah decidemment :)]

Il serait plus judicieux de faire passer findykill et/ou elibagla, ce qui enleverait deja pas mal de merde pour ensuite passer combofix.

Oui mais les a-tils vraiment passer correctement ? rien ne coute de reesayer je pense.

Ntsb investigators flight recorder black box <-- c'est ca le message que tu as eu, il correspond a bagle donc il n'y pas d'autre choix que Combofix/findykill(ou usbfix)/elibagla

De toute facon Bagle ne resiste pas a ces trois fix donc c'est que tu as mal passer les fix, vu qu'il y a des regles a respecter, des demarches bien prescises.

j´ai deja fait tout ca plein de fois :s eligabla, findykill.... la je retente un elibagla...

je vous mets le rapport (avancons :(( ) :








Fri Jan 16 12:28:12 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v12.11b
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\MDELK.EXE.Muestra EliBagle v12.11b
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.11b
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\BARBARA\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\BARBARA\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Fri Jan 16 12:28:18 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\System Volume Information\_restore{FE9DB679-8B9F-4569-9471-BFCEFDF23881}\RP2\A0002026.SYS --> Eliminado Bagle(rootkit)
C:\Qoobox\Quarantine\C\Documents and Settings\barbara\Application Data\drivers\SROSA2.SYS.VIR --> Eliminado Bagle(rootkit)

Nº Total de Directorios: 6887
Nº Total de Ficheros: 76567
Nº de Ficheros Analizados: 14418
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2


http://site.voila.fr/baharbara/eligqble.jpg ce que ca donne apres analyse

Il y un driver de Bagle ds la quarantaine de Combofix et un autre morceau de Bagle ds la resto systeme !

Passe findykill stp et poste le rapport.

et voila le rapport qui suit, pour findyfill




----------------- FindyKill V4.712 ------------------

* User : barbara - ALASKA
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 14/01/09 par Chiquitine29
* Recherche effectuée à 12:42:06 le 2009-01-16
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\system32\rundll32.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DNA\btdna.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\svchost.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:

Found ! [2009-01-16 10:16] - "C:\Muestras"
Found ! [2009-01-16 12:41] - C:\InfoSat.txt

»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch


»»»» Presence des fichiers dans C:\WINDOWS\system32

Found ! [2009-01-16 11:20] - C:\WINDOWS\system32\mdelk.exe
Found ! [2009-01-16 11:20] - C:\WINDOWS\system32\wintems.exe

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


»»»» Presence des fichiers dans C:\Documents and Settings\barbara\Application Data

Found ! [2009-01-15 17:55] - "C:\Documents and Settings\barbara\Application Data\m\flec006.exe"
Found ! [2009-01-15 17:55] - "C:\Documents and Settings\barbara\Application Data\m"
Found ! [2009-01-15 17:48] - "C:\Documents and Settings\barbara\Application Data\drivers"
Found ! [2009-01-16 11:52] - "C:\Documents and Settings\barbara\Application Data\drivers\winupgro.exe"

»»»» Presence des fichiers dans C:\DOCUME~1\barbara\LOCALS~1\Temp


--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
BitTorrent DNA="C:\Program Files\DNA\btdna.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
igfxtray=C:\WINDOWS\system32\igfxtray.exe
igfxhkcmd=C:\WINDOWS\system32\hkcmd.exe
igfxpers=C:\WINDOWS\system32\igfxpers.exe
ehTray=C:\WINDOWS\ehome\ehtray.exe
LaunchApp=Alaunch
RTHDCPL=RTHDCPL.EXE
SkyTel=SkyTel.EXE
AzMixerSel=C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
ntiMUI=C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
ADMTray.exe="C:\Acer\Empowering Technology\admtray.exe"
eDataSecurity Loader=C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
ePower_DMC=C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
Acer ePower Management=C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
LManager=C:\PROGRA~1\LAUNCH~1\LManager.exe
eRecoveryService=C:\Acer\Empowering Technology\eRecovery\Monitor.exe
LVCOMSX=C:\WINDOWS\system32\LVCOMSX.EXE
LogitechCameraAssistant=C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
LogitechVideo[inspector]=C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
LogitechCameraService(E)=C:\WINDOWS\system32\ElkCtrl.exe /automation
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HP Software Update=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
USB Storage Toolbox=C:\Program Files\USB Disk Win98 Driver\Res.EXE
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
avast!=C:\PROGRA~1\ALWILS~1\Avast2\ashDisp.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
<NO NAME>=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
<NO NAME>=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
<NO NAME>=
Installed=1

[HKEY_CURRENT_USER\software\local appwizard-generated applications\Launch Tool]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\msnmsgr]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

--------------- [ Registre / Clés infectieuses ] ----------------


Found ! - HKEY_USERS\S-1-5-21-4210964037-67241737-1894498496-1005\Software\Local AppWizard-Generated Applications\msnmsgr
Found ! - HKEY_USERS\S-1-5-21-4210964037-67241737-1894498496-1005\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA

/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1

--------------- [ Etat / Services ] ----------------



+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 2

/!\ Ip6Fw - Type de démarrage = 4

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2


--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Lecteur fixe

D: - Lecteur fixe


+- presence des fichiers :



--------------- [ Registre / Mountpoint2 ] ----------------


-> Not found !


------------------- ! Fin du rapport ! --------------------

Tu vois, tu avais mal passé le fix !

-Relance findykill

-Option 2 (suppresion)

-Poste le rapport.


Ensuite dis moi comment va le pc, normalement un peu mieux.