Je pense etre infecté par un trojan W32 [Résolu/Fermé]

Signaler
-
 Chiquitine29 -
Bonjour,

Voila mon probleme :

J'ai télécharger un petit logiciel de musique bien sympa : AIMP 2.51 ... ( un p'tit remplacant a winamp bien sympas )...

Je voulais y ajouter la visualisation ( enfin essayer ) milkdrop de winamp donc une petite recherche rapide sur Emule ma vite permis de trouver ce fichier :

Milkdrop 1.04 qui, depuis, j'ai ajouter un p'tit com pour dire qu'il été douteux !!! et si confirmation, je le virerai de mon ordi ...

Mais voila ... j'ai été surpris de voir dans ce fichier *.rar, un fichier crack.txt de 1.5 MO ... de plus, je ne voyer pas en quoi un fichier de visualisation avait besoin d'un crack ... bref, possedant Kaspersky 8 ( la démo actuellement en période d'essai donc a jour ) et spybot a jour ... je me suis dis que si il y avait quelques chose mes chere anti-probleme serai la !!!

Et bien apparement non !!!

Trés vite, Kaspersky c'est fermé ... ( tiens étrange ... ) je le rouvre et la : "kav.exe n'est pas une application win32 valide" ...

Alors je me dis "merde, je me suis fais infecté" ... j'ai alors voulu lancer spybot, il se lance et s'éteint aussitot sans aucun message d'erreur ...

Voila ce que j'aimerai que vous fassiez pour m'aider ( si cela est possible ) :

Pour les possesseur d'emule rechercher le fichier "Milkdrop 1.04.rar" ( environ 2,10 Mo ) ... et sans l'ouvrir bien sur, le scanner avec un antivirus pour me dire le nom exact du virus afin que je fasse des recherche plus approffondie pour résoudre le probleme car je dois bien avouez que j'aime pas trop rester sans anti-virus ( je n'ai pas pu réinstaller kaspersky ou avast ... ce sataner virus m'en empeche ) ...

Merci beaucoup !

104 réponses

Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
169
Tu es infecté par Bagle.

Pour eradiquer ce virus, il faut utiliser Elibagla :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

Téléchargement en bas de page : descargar Elibagla
Enregistre-le sur ton bureau.

Tu vas essayer de lancer en mode sans échec. ( je dis bien essayer car ce virus peut empêcher l’accès à ce mode désinfection )
Tu redémarres ton ordinateur et tapotes sur la touche F8 jusqu’à l’apparition d’une fenêtre où tu pourras accéder au mode sans échec.

IMPORTANT : Si tu n’y arrives pas, n’insiste pas car sinon ton PC risque de faire des redémarrages en boucle. N’essaie pas non plus de modifier le fichier boot.ini
Tu utiliseras alors le logiciel sous Windows.
Tu lances Elibagla en double-cliquant dessus.
Ce genre d'infection peut être effectivement assez coriace. Si tu utilises cet outil, il te faudra plusieurs fois le passer ( 3 à 4 fois ).
Tu postes le rapport.

A+
Pour infos le nom exact des fichiers contenu dans le "MilkDrop 1.04.zip" ( oui c'est un *.zip et non rar ... ) :

cracked.nfo
MilkDrop 1.04.exe

Voila ... et donc : A NE SURTOUT PAS OUVRIR !!!!
Merci pour l'infos, je vais faire sa de suite ... en attendant, j'avais lancer un scan avec bitdefender online ... voila se qu'il ma trouver :

BitDefender Online Scanner - Rapport virus en temps réel



Généré à: Thu, Jul 24, 2008 - 21:26:50


--------------------------------------------------------------------------------





Info d'analyse



Fichiers scannés
105420

Infectés Fichiers
2








Virus Détectés



Trojan.Keylog.Hotkeyshook.Y
2



Mais bon, sa me parais un peu leger non ???
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
169
Commence par supprimer le crack avant de passer Elibagla.

Essaie ensuite en mode sans échec.
Sinon, passe l'outil sous windows.

A+
Bingo !!!

Dans Milkdrop 1.04.exe il trouve Bagle.dldr

Jai pas spécialement le souvenir de l'avoir ouvert mais apparement j'ai pas eu le temps de m'en rendre compte ( j'ai du clicker dessus mais j'ai du croire que rien ne c'été passer ... )
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
169
C'est bien une infection Bagle.

Seulement, je ne comprends pas ta réponse.
As-tu passé Elibaglla ?
Il faut que tu le passes et que tu me postes le rapport.
Il se trouve en C:\Infosat.txt.

A+
Euh ...

Je n'es pas de lecteur c: ... mon windows est installer sur D:

De plus j'ai executer Elibaglla via le dossier My download dans D:/ document de ludo ... sa pose un probleme de pas avoir de c: ???

En tout cas, gros merci pour ces réponse expresse !!! ;)
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
169
Il est préférable que Elibagla soit sur le bureau.
Tu le coupes et le mets sur le bureau.

pour le rapport, si ta partition système est D:, ton rapport sera en D:\Infosat.txt.

Peux-tu faire les manipulations que je te demande et me poster le rapport ?

Prenons notre temps.
Avec cette infection, il ne faut pas se précipiter.
Donc, attends que je te donne des consignes et suis les à la lettre.

A+
Messages postés
58
Date d'inscription
jeudi 24 juillet 2008
Statut
Membre
Dernière intervention
26 juillet 2008

Je comprend pas ... comme tu m'as dis, je l'ai "couper" et coller sur mon bureau ...

J'ai entre-temps supprimer les fichiers Milkdrop v.104.zip ainsi que le dossier ( car je m'ai extrais au cas ou bitdefender regarder pas dans les *.zip ... )

Et la, Elibaglla ne trouve plus rien, et il ne fais pas de raport ( meme avec une recherche dans mon poste de travail il ne trouve pas de Infosat.txt ...

faut il que je reboot le PC et faut il impérativement que j'utilise le mode sans echec ???
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
169
Tu vas télécharger ComBoFix sur le bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Tu devrais avoir une icone rouge avec une croix.

Lance Combofix.exe et suis les invites.
Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.
Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+
Messages postés
58
Date d'inscription
jeudi 24 juillet 2008
Statut
Membre
Dernière intervention
26 juillet 2008

"combofix.exe n'est pas une application win32 valide" ... sniff
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
169
Comme je te le disais, Bagle est une infection coriace.
C'est courant que cela arrive.

Tu vas renommer Combofix.exe en combo-fix.exe.
Tu fais un click droit sur l'exécutable sur le bureau, puis choisis renommer.

tape : combo-fix.exe

relance combo-fix.exe et tiens moi au courant.
Messages postés
58
Date d'inscription
jeudi 24 juillet 2008
Statut
Membre
Dernière intervention
26 juillet 2008

au faite ... quand je lance elibagla ... il me marque sa :

Detectado Gusano Bagle.
Reinicie para Completar la Limpieza

Mais moi et l'espagnole .. :/

Et pour combofix ... le message est le meme ... ceci n'est pas une application win32 valide ...

Effectivement , corriace la bete ... mais je me demande encore comment il a pu passer a travers kaspersky et spybot ( j'ai aussi ccleaner, le pare feu windows etc ... Bref, je me protege comme un dingue et la je me suis fais avoir comme un bleu !!! :( )
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
169
Comment il est passé ? avec le crack, évidemment.

As-tu essayé de renommer combofix comme je te l'ai demandé ?
Messages postés
58
Date d'inscription
jeudi 24 juillet 2008
Statut
Membre
Dernière intervention
26 juillet 2008

oui oui ... meme renommer il en veus pas ...
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
169
Si je récapitule :
Il y a sur le bureau , combo-fix.exe et Elibagla.

Tu vas renommer Elibagla en mdel.exe.

Lance le alors.

A+
Messages postés
58
Date d'inscription
jeudi 24 juillet 2008
Statut
Membre
Dernière intervention
26 juillet 2008

je vois que combofix peut s'ouvrir avec winrar ... connais tu l'executable a lancer ? peut etre que sa pourrai marcher ?
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
169
Non, il ne faut pas l'extraire. C'est un éxecutable.
Essaie de renommer elibagla.
Messages postés
58
Date d'inscription
jeudi 24 juillet 2008
Statut
Membre
Dernière intervention
26 juillet 2008

bon alors j'ai relancer elibagla il scan mais toujours pas de rapport ( et il trouve rien ) ... j'ai désinstaller aussi avast ( qui au passage, na jamais pu terminer son installation ) car j'avais un message au lancement de elibagla :

ATTENTION
Se aconseja desactivar temporalmente el residente des antivirus,
para que la exploracion sea mas rapida.
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
169
Zouky,

peux-tu essayer de passer les deux outils en mode sans échec ?
Tu redémarres ton ordinateur et tu tapotes sur la touche F8.
choisis ton compte.

Commence par elibagla.
Essaie ensuite combofix.

A+
Messages postés
58
Date d'inscription
jeudi 24 juillet 2008
Statut
Membre
Dernière intervention
26 juillet 2008

aussi j'ai un message qui s'affiche aprés un reboot du pc, au demarrage, un fenetre s'ouvre avec marquer :

"select file to crack" avec un choix de fichier ...

Aussi, je penser a une chose, j'ai un windows de secours sur une partition M: ... un windows installer tout propre ... que j'avais justement mi en secours ... si je lance combo-fix de la ... sa devrai marcher non ???
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
169
oui, c'est une solution.
sais-tu comment booter sur cette partition ?
Messages postés
58
Date d'inscription
jeudi 24 juillet 2008
Statut
Membre
Dernière intervention
26 juillet 2008

oui, je le fais de suite ... je reviens aprés avoir essayer ( 10 a 15 min je pense ... )
Messages postés
58
Date d'inscription
jeudi 24 juillet 2008
Statut
Membre
Dernière intervention
26 juillet 2008

bon ... on est pas sorti de l'auberge :

J'ai lancer mon windows tout propre .. tellement propre que je ne l'avais pas encore activé et quand cela a été fais il me dis que le nombre d'utilisation et dépassé ou un truc dans le genre ( c'est le cd de windows d'origine que j'ai eu avec le PC ( qui date donc de 6 ans ) ... aujourd'hui je tourne avec windows LSD 3.5 avec lequel je n'ai jamais eu de soucis depuis 3 ans ( aucun formattage !!! lol ) ...

Bref, et impossible de joindre un gus de microsoft car ils sont fermé ...

J'ai alors tenter le mode sans echec mais le disque dur été toujours allumer et travailler dur ... mais aprés 10 min, y'avais toujours qu'un ecran noir et un tirer en haut a gauche qui clignoter ... alors j'ai rebooter et me revoici en mode normal ... le shmilbique n'a donc pas avancer d'un pouce ... :(
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
169
On recommence point par point.

1) Supprime Elibagla et combofix.
Tu les retélecharges et les enregistres sur le bureau.

http://www.zonavirus.com/datos/descargas/95/elibagla.asp
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2) Télécharge gmer
http://www.gmer.net/gmer.zip

3) Renomme elibagla en mdelk.exe
Et double-clique sur mdel.exe.

Dis moi ce qui se passe.
Messages postés
58
Date d'inscription
jeudi 24 juillet 2008
Statut
Membre
Dernière intervention
26 juillet 2008

alors j'ai fais ce que tu ma dis ... elibagla a fais son scan, il ne trouve rien et toujours pas de rapport :(

Je commence a désesperer ... sniff
1 2 3 4 5 6