Sujet Précédent Sujet Suivant

Virus Bagle

Résolu/Fermé
JBE16 Messages postés 3 Date d'inscription lundi 16 février 2009 Statut Membre Dernière intervention 18 février 2009 - 16 févr. 2009 à 22:18
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 - 18 févr. 2009 à 21:54
Bonjour,

Mon ordinateur est infecté par un virus qui a rendu inopérant mon antivirus Antivir ainsi que mon firewall Zonealarm.

Mon systeme d'exploitation est XP SP3.

J'ai suivi les instructions trouvées dans "Comment supprimer le virus Bagle ?" :
1) J'ai téléchargé Elibagle puis j'ai lancé son exécution qui s'est déroulée en mode sans échec. Après plusieurs passes, il a fini par éliminer tous les fichiers identifiés comme bagle.
2) J'ai téléchargé Combofix puis j'ai lancé son exécution qui une nouvelle fois s'est bien déroulée. Combofix a détruit le fichier de sortie de Elibagle. L'ordinateur a redémarré une seule fois et a produit un rapport que voici :

ComboFix 09-02-15.01 - HP_Propriétaire 2009-02-16 21:11:20.1 - NTFSx86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1022.801 [GMT 1:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\CCM.exe
FW: ZoneAlarm Firewall *enabled*
.
[i] ADS - WINDOWS: deleted 24 bytes in 1 streams. /i

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\InfoSat.txt
c:\program files\Microsoft ActiveSync\WCESCOMM.EXE
D:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SK9OU0S
-------\Legacy_SROSA
-------\Service_sK9Ou0s


((((((((((((((((((((((((((((( Fichiers créés du 2009-01-16 au 2009-02-16 ))))))))))))))))))))))))))))))))))))
.

2009-02-15 23:11 . 2009-02-16 19:39 <REP> d-------- C:\Muestras
2009-02-15 22:46 . 2009-02-15 22:46 <REP> d-------- C:\VIRUSfighter
2009-02-15 19:09 . 2009-02-15 19:20 <REP> d-------- c:\program files\WinMerge
2009-02-14 17:57 . 2009-02-14 17:57 <REP> d-------- c:\documents and settings\Louise\Application Data\vlc
2009-02-09 21:25 . 2009-02-09 21:25 54,156 --ah----- c:\windows\QTFont.qfn
2009-02-09 21:25 . 2009-02-09 21:25 1,409 --a------ c:\windows\QTFont.for
2009-02-07 11:22 . 2009-02-07 11:22 <REP> d-------- c:\documents and settings\All Users\Application Data\FLEXnet
2009-02-07 10:58 . 2009-02-07 10:58 <REP> d-------- c:\program files\Fichiers communs\Macrovision Shared
2009-02-02 21:40 . 2009-02-02 21:40 <REP> d-------- c:\program files\MagicISO
2009-01-19 21:51 . 2009-01-19 21:51 <REP> d-------- c:\windows\Logs
2009-01-19 20:04 . 2009-01-19 21:53 <REP> d-------- C:\PES 2009
2009-01-17 01:42 . 2009-01-17 01:42 103,488 --a------ c:\windows\system32\drivers\AnyDVD.sys
2009-01-16 23:35 . 2009-01-16 23:35 93,352 --a------ c:\windows\system32\ElbyCDIO.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-16 20:12 --------- d-----w c:\program files\Microsoft ActiveSync
2009-02-15 21:46 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-15 19:58 --------- d-----w c:\documents and settings\All Users\Application Data\nView_Profiles
2009-02-15 18:39 --------- d-----w c:\program files\eMule
2009-02-15 14:04 --------- d-----w c:\documents and settings\HP_Propriétaire\Application Data\BitTorrent
2009-02-15 11:47 --------- d-----w c:\program files\adslTV
2009-02-09 20:03 --------- d-----w c:\program files\Nikon
2009-02-09 20:02 --------- d-----w c:\program files\Fichiers communs\Nikon
2009-02-09 19:59 0 ---h--w c:\documents and settings\All Users\Application Data\PKP_DLds.DAT
2009-02-09 19:58 20 ---h--w c:\documents and settings\All Users\Application Data\PKP_DLec.DAT
2009-02-09 19:45 20 ---h--w c:\documents and settings\All Users\Application Data\PKP_DLbz.DAT
2009-02-07 10:06 --------- d-----w c:\program files\Fichiers communs\Adobe
2009-02-02 21:03 --------- d-----w c:\documents and settings\HP_Propriétaire\Application Data\Apple Computer
2009-01-31 16:49 --------- d-----w c:\documents and settings\All Users\Application Data\DVD Shrink
2009-01-21 06:42 --------- d-----w c:\program files\Google
2009-01-14 21:43 24,360 ----a-w c:\windows\system32\drivers\ElbyCDIO.sys
2009-01-11 09:34 --------- d-----w c:\documents and settings\HP_Propriétaire\Application Data\vlc
2009-01-07 17:58 --------- d-----w c:\program files\NovaLogic
2009-01-06 19:37 --------- d-----w c:\documents and settings\Guillaume\Application Data\vlc
2008-12-27 12:07 --------- d-----w c:\program files\Ubi Soft
2008-12-26 10:16 --------- d-----w c:\program files\Java
2008-12-26 10:14 --------- d-----w c:\program files\HP
2008-12-26 10:13 --------- d-----w c:\documents and settings\All Users\Application Data\HP Product Assistant
2006-03-21 20:26 28,672 ------w c:\documents and settings\HP_Propriétaire\atwbxdet.dll
2006-03-21 20:26 28,672 ------w c:\documents and settings\HP_Propriétaire\atwbxdet.dll
2006-03-05 20:53 336 ------w c:\documents and settings\HP_Propriétaire\Application Data\wklnhst.dat
2005-12-26 18:27 22 --sh--w c:\windows\SMINST\HPCD.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-10 39408]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVDtray.exe" [2009-01-31 2530240]
"ccleaner"="c:\program files\CCleaner\ccleaner.exe" [2008-04-23 1189104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-26 136600]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-11-04 7307264]
"HPHUPD08"="c:\program files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 49152]
"Home Theater SchSvr"="c:\program files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe" [2005-07-18 106496]
"WINREMOTE"="c:\program files\InterVideo\Common\Bin\WinRemote.exe" [2005-07-18 262144]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2005-05-05 278528]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Zone Labs Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2009-02-16 755480]
"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]
"SNPSTD2"="c:\windows\vsnpstd2.exe" [2004-08-30 286720]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-11-03 282624]
"XboxStat"="c:\program files\Microsoft Xbox 360 Accessories\XboxStat.exe" [2007-09-26 734264]
"UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-03-02 180269]
"nwiz"="nwiz.exe" [2005-11-04 c:\windows\system32\nwiz.exe]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 c:\windows\ALCXMNTR.EXE]
"WD Button Manager"="WDBtnMgr.exe" [2007-11-28 c:\windows\system32\WDBtnMgr.exe]

c:\documents and settings\HP_Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers wweb32.exe.lnk - c:\program files\WordWeb\wweb32.exe [2006-08-03 19968]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-01-14 113664]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 282624]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Post-it© Software Notes Lite.lnk - c:\program files\3M\PSN2Lite\Psn2Lite.exe [2002-01-24 520192]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\[u]0/uOODBS\[u]0/ulsdelete

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\PES 2009\\pes2009.exe"=

S1 hidfltr;HID Filter Driver;c:\windows\system32\drivers\MWhid.sys [2004-11-03 13332]
S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2005-01-01 2786176]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2008-12-10 356920]
S3 Theuvcrvampd;Theuvcrvampd; [x]
S4 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [2006-11-03 13592]
.
Contenu du dossier 'Tâches planifiées'

2009-02-15 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]

2009-01-06 c:\windows\Tasks\{0824B112-8FA0-4A35-8F9C-EC8ECA67E1AD}_MYPC-1_Christelle.job
- c:\windows\system32\mobsync.exe [2008-04-14 03:34]

2009-01-13 c:\windows\Tasks\{0AA0698A-8050-490D-B8D7-CDC36BF41544}_MYPC-1_HP_Propriétaire.job
- c:\windows\system32\mobsync.exe [2008-04-14 03:34]

2009-01-13 c:\windows\Tasks\{8E7EE732-8B56-4372-8A09-4B8CFF5C9210}_MYPC-1_Christelle.job
- c:\windows\system32\mobsync.exe [2008-04-14 03:34]

2009-01-02 c:\windows\Tasks\{AA9540C0-DC48-4DFE-B7C9-B479830C81E4}_MYPC-1_Christelle.job
- c:\windows\system32\mobsync.exe [2008-04-14 03:34]

2009-01-02 c:\windows\Tasks\{B93278E0-7719-4720-9D6B-A131800E6E44}_MYPC-1_HP_Propriétaire.job
- c:\windows\system32\mobsync.exe [2008-04-14 03:34]

2009-01-06 c:\windows\Tasks\{D2E4CED7-4F3B-44A5-8E61-D26A6E681F4B}_MYPC-1_HP_Propriétaire.job
- c:\windows\system32\mobsync.exe [2008-04-14 03:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-H/PC Connection Agent - c:\program files\Microsoft ActiveSync\WCESCOMM.EXE
MSConfigStartUp-IS CfgWiz - c:\program files\Norton Internet Security\cfgwiz.exe
MSConfigStartUp-URLLSTCK - c:\program files\Norton Internet Security\UrlLstCk.exe


.
------- Examen supplémentaire -------
.
uStart Page = https://mail.yahoo.com/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &WordWeb... - c:\windows\wweb32.dll/lookup.html
IE: Download with GetRight Pro - c:\program files\GetRight\GRdownload.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Open with GetRight Pro Browser - c:\program files\GetRight\GRbrowse.htm
IE: Ouvrir avec GetRight - c:\program files\GetRight\GRbrowse.htm
IE: Télecharger avec GetRight - c:\program files\GetRight\GRdownload.htm
IE: Télécharger avec GetRight - c:\program files\GetRight\GRdownload.htm
DPF: {3A5A2021-0895-11D2-8817-0060089E0724} - hxxp://corp.globalenglish.com/html/setup/cabs/ge.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-16 21:15:05
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
Heure de fin: 2009-02-16 21:17:21 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-16 20:17:19

Avant-CF: 42 511 273 984 octets libres
Après-CF: 42,429,837,312 octets libres

190 --- E O F --- 2009-02-11 20:40:02


J'aimerais avoir votre avis, le contenu de ce fichier texte me semble beaucoup plus difficile à comprendre.
J’ajoute que mon internet explorer rame au bout d’un certain temps et que je suis obligé de redémarrer régulièrement, toujours en mode sans échec pour l’instant.

Merci d'avance pour votre aide.

4 réponses

Réponse 1 / 4
scarface149 Messages postés 807 Date d'inscription mercredi 6 juin 2007 Statut Membre Dernière intervention 29 août 2014 512
16 févr. 2009 à 22:19
salut il y a le logiiel bagalia qui éradique ce virus
0
Réponse 2 / 4
JBE16 Messages postés 3 Date d'inscription lundi 16 février 2009 Statut Membre Dernière intervention 18 février 2009
16 févr. 2009 à 22:34
Oui, je l'ai déjà exécuté et il a semble-t-il éliminé tous les fichiers infectés.
J'ai ensuite exécuté Combofix qui a lui aussi supprimé des fichiers. J'aimerais avoir un avis sur le rapport produit par combofix.
0
Réponse 3 / 4
JBE16 Messages postés 3 Date d'inscription lundi 16 février 2009 Statut Membre Dernière intervention 18 février 2009
18 févr. 2009 à 21:39
J'ai fini par réussir à installer de nouveau Antivir puis j'ai lancé un scan. Il a révélé 3 bagles supplémentaires que j'ai pu supprimer.
Il m'a ensuite fallu désinstaller zonealarm pour de nouveau pouvoir le réinstaller. J'ai suivi à la lettre votre article "réinstallation complète de ZoneAlarm".

Mon ordinateur semble fonctionner de nouveau sans problème. Les lenteurs et les arrêts de ma connexion interne étaient probablement dus au très fameux truevector.

Merci pour la qualité de vos articles qui expliquent point par point les étapes à suivre. Je regrette néanmoins de n'avoir pas eu plus de réponse en ligne.

Merci malgré tout à tous.
0
Réponse 4 / 4
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
18 févr. 2009 à 21:54
bonsoir,

je pense pas que ce soit fini avec bagle

fait ceci pour verif


* Telecharge Findykill sur ton bureau https://www.androidworld.fr/

* (c'est le numéro 18 en bas de la page)

* Lance l installation avec les parametres par default

* Double clic sur le raccourci FindyKill sur ton bureau

* Au menu principal,choisi l option 1 (Recherche)

* Post le rapport FindyKill.txt


* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses