Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Worm bagle

Dernière réponse le 24 fév 2007 à 11:05:44 manu2531, le 16 fév 2007 à 10:34:19

Signaler ce message aux modérateurs

Worm.bagle hj ; worm.bagle.hz ; worm.bagle.hw ???

Bonjour,

Mon PC est apparament infecté par Worm-Bagle.
Symptomes: plus d'antivirus, impossible d'en installer un, Spybot est en rade et impossible à réinstaller.

Je n'arrive pas à démarrer en mode sans echec... ( ecran bleu )

Voici le rapport Hijack :
Logfile of HijackThis v1.99.1
Scan saved at 10:19:36, on 16/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\DELVILLE\Local Settings\Temporary Internet Files\Content.IE5\FM18XJ6D\FxBeagle[1].exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\DELVILLE\Local Settings\Temporary Internet Files\Content.IE5\EVJDYAQO\HijackThis[1].exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE" /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" /SYNC
O4 - HKLM\..\Run: [SiSPower] "Rundll32.exe" SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4836/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

J'ai essayer plein de chose pour la suppression mais rien ni fait.

aidé moi s'il vous plait, merci d'avance .

Configuration: Windows XP
Internet Explorer 7.0

Meilleures réponses pour « worm bagle » dans :

Le Trojan I-Worm/Bagle s'accroche ! (Résolu) Voir

Infecté par TR/RKit.Bagle.Gl et WORM/Bagle.GY (Résolu) Voir

Worm bagle désinfecté ? (Résolu) Voir

Comment supprimer le virus Beagle/Bagle ? VoirLe malware Bagle est en réalité un ver informatique se propageant essentiellement par les logiciels P2P et via de faux cracks (= logiciels piratés !), ainsi que par mail. L'internaute croyant télécharger un crack pour un logiciel en faisant une...

[Virus] Kit de désinfection pour éradiquer W32/Beagle@mm (Bagle) VoirNom des variantes Beagle/bagle Kits de désinfection Nom des variantes Beagle/bagle Plusieurs éditeurs ont mis au point des kits de désinfection permettant de supprimer les variantes suivantes du Virus W32.Beagle@mm, appelé aussi Win32.Bagle...

Virus nommé : I-WORM/BAGLE.CH (Résolu) Voir

Worm Bagle.JT (Résolu) Voir

I worm bagle, trojan horse downloader generic Voir

Posez votre question Répondre

philo2100, le 16 fév 2007 à 10:55:58

Coches + fixer

O4 - HKLM\..\Run: [MSPY2002] "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" /SYNC
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4836/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

tu vas avoir besoin de faire un scan en ligne...si tu peux ?
http://support.f-secure.fi/enu/home/ols3.shtml
" Si vous ne pouvez être des saints de la connaissance, soyez en au moins
les guerriers . Friedrich Nietzsche"

Répondre à philo2100

manu2531, le 16 fév 2007 à 11:41:40

Bonjour philo2100

je ne comprend pas "coches + fixer " est-il possible de m'expliquer la procedure a suivre, je suis pas tres fort en informatique.

Merci d'avanve.

Répondre à manu2531

philo2100, le 16 fév 2007 à 11:48:46

Ben, oui, tu vois le problème ....
http://leblogdeclaude.blogspot.com/...
-------------------------------------------------------------
Avant toute chose....
http://leblogdeclaude.blogspot.com/...
Ensuite,

fais un scan seul avec Hijackthis
ensuite tu coches les cases des lignes indiquées avant.
Ensuite tu fais fixer.

" Si vous ne pouvez être des saints de la connaissance, soyez en au moins
les guerriers . Friedrich Nietzsche"

Répondre à philo2100

manu2531, le 16 fév 2007 à 12:08:30

Me revoila philo2100

apres avoir fait ce que vous m'avez dit, l'ordi a ete redemarrer et j'ai un icone dans la barres des taches qui me dit :

" vous etes peut etre victime d'une contrefacon de logiciel "

alors que non ! !

Ordinateur acheter neuf.

Que dois je faire maintenant ?

J'attends impatiament votre réponse.

Encore merci de m'aider

Répondre à manu2531

philo2100, le 16 fév 2007 à 12:35:27

Pas de panique c'est une alerte xp, avec le fameux , devrais-je dire "fumeux" Windows Genuine Advantage Validation Tool.
Je vais m'en occuper après.
d'abord ton Hijackthis est trés mal installé.
-----------------------------------------------------------------------
C:\Documents and Settings\DELVILLE\Local Settings\Temporary Internet Files\Content.IE5\EVJDYAQO\HijackThis[1].exe
---------------------------------------------------------------
Lançes le (Hijackthis)
cherches le bouton 'ouvrir la section outils"
cherches avec la barre verticale (descends-là) désinstaller Hijackthis.
Désinstalles-le et renomes-le !
Ensuite, regardes ici:
http://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
------------------------------------------------------------------
ensuite:
download ceci:
http://www.octeam.fr/...
exécutes-le
-----------------------------------------------------------------
Refaits un log Hijackthis

" Si vous ne pouvez être des saints de la connaissance, soyez en au moins
les guerriers . Friedrich Nietzsche"

Répondre à philo2100

manu2531, le 16 fév 2007 à 12:45:35

Ola j'ai du aller trop vite , j'ai installer le fameux Windows Genuine Advantage Validation Tool.

expliquez moi si je continu le proceder que vous m'avez dit ou dois je supprimer dans ajout suppression de programme " Windows Genuine Advantage Validation Tool.

désolé

Répondre à manu2531

manu2531, le 16 fév 2007 à 12:58:11

Lançes le (Hijackthis)
cherches le bouton 'ouvrir la section outils" ? ?

je ne trouve pas le bouton ouvrir la section outils, je suis vraiment désolé, mais comme je vous l'ai dit je suis pas fortiche in ordi .

Je suis vraient désolé.

Répondre à manu2531

manu2531, le 16 fév 2007 à 13:30:53

Philo2100

je pense avoir fait ce que vous me disiez ( du moins, je l'espere )

voila le nouveau rapport :

J'ai la version en francais cette fois ci ! !

Logfile of HijackThis v1.99.1
Scan saved at 13:25:26, on 16/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE" /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SiSPower] "Rundll32.exe" SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [RemoveWGA] C:\Documents and Settings\DELVILLE\Local Settings\Temporary Internet Files\Content.IE5\ZR36LMKL\RemoveWGA.exe -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O15 - Trusted Zone: http://toolbar.imageshack.us
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Merci beaucoup de vos reponses.

Répondre à manu2531

manu2531, le 16 fév 2007 à 13:45:58

Philo2100,

merci pour vos réponse, j'attend la suite mais pour le moment je ne peux plus etre en ligne, j'ai des imperatifs et je dois m'en aller.

J'espere avoir la suite de mon probleme ce soir.

Désolé encore et merci beaucoup.

Manu 2531.

Répondre à manu2531

Lyonnais92, le 16 fév 2007 à 14:58:01

Bonjour manu et philo.

un outil (espagnol) très bien adapté :
Ouvre ce lien :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

tout en bas de cette page tu trouveras un outil à telecharger,
clique sur escargar Elibagla 10.09

installe ce fichier sur le bureau (il va te demander enregistrer ou exécuter, tu choisis enregistrer et, dans la fenêtre, tu cluqes, à gauche, sur bureau).
Va sur ton bureau et double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt

Remets aussi un log HijackThis.
Le traitement n'est pas terminé, mais l'outil devrait avoir éliminé Bagle

Bonne suite à tous les 2. Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

Répondre à Lyonnais92

manu2531, le 16 fév 2007 à 18:22:59

Bonjour lyonnaire92

tout d'abord merci de votre aide.

Voila le log :

Fri Feb 16 18:07:45 2007
EliBagle v10.14 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\DELVILLE\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\DELVILLE\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Feb 16 18:07:59 2007
EliBagle v10.14 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0115094.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0115095.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0115105.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0115106.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116105.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116106.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116114.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116115.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116274.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116275.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116307.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116308.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116336.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0116339.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0117332.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0117333.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0117338.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP686\A0117339.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP687\A0117351.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP687\A0117353.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP688\A0117379.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP688\A0117381.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117402.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117404.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117412.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117415.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117421.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117431.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117522.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117523.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117619.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117620.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117655.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117656.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117663.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP689\A0117665.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117687.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117688.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117789.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117791.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117818.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117821.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117828.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117829.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117835.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117837.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117847.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117848.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117855.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117856.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117857.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{6121CAA6-585B-4660-AF2F-A8E40127F2FA}\RP690\A0117858.EXE --> Eliminado Bagle.dldr

et maintenant l'autre log :

Logfile of HijackThis v1.99.1
Scan saved at 18:15:36, on 16/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\DELVILLE\Bureau\EliBaglA.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE" /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SiSPower] "Rundll32.exe" SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [RemoveWGA] C:\Documents and Settings\DELVILLE\Local Settings\Temporary Internet Files\Content.IE5\ZR36LMKL\RemoveWGA.exe -startup
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\DELVILLE\Bureau\EliBaglA.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O15 - Trusted Zone: http://toolbar.imageshack.us
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

ca doit faire pas mal de chose a analyser, mais je vous remercie énormement de votre aide.

Manu2531

Répondre à manu2531

manu2531, le 16 fév 2007 à 18:32:32

Lyonnaise92

apres avoir effectue ce que vous m'avez demander, j'ai refais un scan et voila le resultat :

Fri Feb 16 18:28:45 2007
EliBagle v10.14 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Fri Feb 16 18:28:46 2007
EliBagle v10.14 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

j'attend le reste pour savoir ce qu'il faut faire.

Encore merci

Répondre à manu2531

philo2100, le 16 fév 2007 à 19:08:01

Salut Lyonnais92,
ça m'a l'air bien efficace----> escargar Elibagla 10.09
je m'en vais coller ça dans un lien !
------------------------------------------------------------------------------
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [RemoveWGA] C:\Documents and Settings\DELVILLE\Local Settings\Temporary Internet Files\Content.IE5\ZR36LMKL\RemoveWGA.exe -startup
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\DELVILLE\Bureau\EliBaglA.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

--------------------------------------------------------------
Démarrer/Exécuter/ tape cmd puis appuyer sur Enter
une fenêtre noire va s'ouvrir.

tape : ( je conseille le copier/coller)

sc config UserAccess7 start= disabled -- > puis appuyer [Enter]
sc stop UserAccess7 -- > puis appuyer [Enter]
sc delete UserAccess7 -- > puis appuyer [Enter]

" Si vous ne pouvez être des saints de la connaissance, soyez en au moins
les guerriers . Friedrich Nietzsche"

Répondre à philo2100

manu2531, le 16 fév 2007 à 19:14:21

Bonsoir philo2100

j'ai fais le copier coller de ce que vous demandiez

je vais voir maintenant pour l'installation de avast

Merci énorement a vous philo2100 et lyonnaise92

en esperant qsue tous soit résolu

Répondre à manu2531

manu2531, le 16 fév 2007 à 19:23:01

Rebonsoir,

j'ai enfinréussi mettre avast sur mon pc

a prioi ca fonctionne, je fais un scan avec avast vos ees des bets de l'informatique;

merci tout plein t vous tiens auourant i cela foncionne correctemen.

Me faut il un logiciel pour les pub intepestives tls que system octor, win... je sais plus quoi,

merci du renseignement.

Répondre à manu2531

manu2531, le 16 fév 2007 à 19:37:20

Désolé je ne me suis pas relu et je constate qu'il y a pas mal de fautes ou de lettres oubliées.

avec mes excuses.

Manu 2531

Répondre à manu2531

philo2100, le 16 fév 2007 à 19:41:36

Re,
lit ceci pour infos...

http://leblogdeclaude.blogspot.com/...
" Si vous ne pouvez être des saints de la connaissance, soyez en au moins
les guerriers . Friedrich Nietzsche"

Répondre à philo2100

Lyonnais92, le 16 fév 2007 à 21:10:46

Bonsoir Manu,

ta restauration système est infectée.

Il faut détruire les points de restauration actuels et prendre un point de restauration propre.

Ouvre ce lien et fais ce qui est dit pour désactiver puis réactiver ta restauration système.

@+ Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

Répondre à Lyonnais92

manu2531, le 16 fév 2007 à 21:27:30

Bonsoir Lyonnaise92

Concernant ma restauration de systeme infectée, il n'y a pas de lien a suivre.

J'attend la procedure.

Merci beaucoup

Répondre à manu2531

30 réponses 12 Suivant

Posez votre question Répondre