[résolu] infecté par Bagle.

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[résolu] infecté par Bagle.

Messagepar gvertpierre » 03 Déc 2009 12:58

Bonjour à tous! Je ne suis pas un habitué des forums et j'éspère ne pas faire d'erreurs.
Donc voîlà, nous sommes dans la sections de demandes d'aides en cas d'infections. Donc évidement je ne vais pas parler de la pâtes à crépes.
J'ai donc été infecté par Bagle ( application win32 non valide, impossible de lancé avast, Spybot ...) et j'ai utilisé le programme FindyKill pour faire le grand nettoyage.
Seulement je pense que cela n'a pas réussi totalement. En effet, il reste quelques éléments qui me font tilter:
_ des boucliers à carreaux bleu/jaune sont apparus sur certains programmes (avast, findykill, Revo Uninstaler)
_ impossibilité d'utiliser Firefox (j'essaie de la lancer mais rien dans le gestionnaire de programme) malgré une bonne connexion wifi
_ impossible de désinstaller findykill
_ quand je lance findykill il me trouve deux clés infectieuses (antivirus/firewall override)
_ à la fin de la suppression par findykill, il me trouve deux fichiers corrompus
_ avast,spybot et malware ne trouve rien
_ à chaque utilisation de programme, W7 me demande si je veux l'executer (le controle de compte d'utilisateur se met en route alors que je n'ai touché à rien
_ j'ai des interdictions pour l'enregistrements de fichiers et programmes sur la partition C:

Donc j'ai désinstaller firefox en me disant que la ré-installation serait une bonne chose. Je ne l'ai pas encore fait car je suis arrivé sur votre site et je me suis dit que demander à des gens plus expérimenter que moi ne serait pas une mauvaise chose. J'ai donc pas mal lu sur le forum et j'espere vous donner un maximum d'info

Je met à la suite le log de Malware, les deux log de Findykill et le log de HijackThis.


1. Malware:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3261
Windows 6.1.7600

03/12/2009 01:13:42
mbam-log-2009-12-03 (01-13-42).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 183932
Temps écoulé: 32 minute(s), 40 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)





2. Findykill recherche:


############################## | FindyKill V5.020 |

# User : Geant Vert 666 (Administrateurs) # BIGBOSS
# Update on 26/11/2009 by Chiquitine29
# Start at: 01:15:00 | 03/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 CPU T5300 @ 1.73GHz
# Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 39,06 Go (21,69 Go free) [HDD] # NTFS
# D:\ # Disque fixe local # 101,99 Go (19,75 Go free) [Données] # NTFS
# E:\ # Disque amovible
# F:\ # Disque fixe local # 465,76 Go (332,29 Go free) [Expansion Drive] # NTFS
# G:\ # Disque CD-ROM
# H:\ # Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Google\Update\1.2.183.13\GoogleCrashHandler.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\ATK0100\HControl.exe
C:\Program Files\HTC\HTC Sync\Application Launcher\Application Launcher.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
C:\Program Files\Common Files\Teleca Shared\logger.exe
C:\Windows\ATK0100\ATKOSD.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\HTC\HTC Sync\ClientInitiatedStarter\ClientInitiatedStarter.exe
C:\Program Files\HTC\HTC Sync\Mobile Phone Monitor\epmworker.exe
C:\Program Files\HTC\HTC Sync\Mobile Phone Monitor\DbgOut.exe
C:\Program Files\HTC\HTC Sync\Mobile Phone Monitor\HTCVBTServer.exe
C:\Program Files\HTC\HTC Sync\Mobile Phone Monitor\FsynSrvStarter.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\notepad.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\Windows |


################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\Geant Vert 666\AppData\Roaming |


################## | Autres detections ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center\Svc] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center\Svc] "FirewallOverride"

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.020 ! |




3.Findykill désinfections:





############################## | FindyKill V5.020 |

# User : Geant Vert 666 (Administrateurs) # BIGBOSS
# Update on 26/11/2009 by Chiquitine29
# Start at: 01:28:16 | 03/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 CPU T5300 @ 1.73GHz
# Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 39,06 Go (21,72 Go free) [HDD] # NTFS
# D:\ # Disque fixe local # 101,99 Go (19,75 Go free) [Données] # NTFS
# E:\ # Disque amovible
# F:\ # Disque fixe local # 465,76 Go (332,29 Go free) [Expansion Drive] # NTFS
# G:\ # Disque CD-ROM
# H:\ # Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Update\1.2.183.13\GoogleCrashHandler.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\sppsvc.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-B9E72D89.pf

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\Geant Vert 666\AppData\Roaming |


################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |


################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |

Corrompu : C:\$Recycle.Bin\S-1-5-21-3532907749-30940200-395715894-1000\$RWEWTAQ\helper.exe
[Offset = 000000E4 - Valeur = 0x0001]

Corrompu : C:\Program Files\Spybot - Search & Destroy\blindman.exe
[Offset = 00000104 - Valeur = 0x0001]


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.020 ! |



4. Log HijackThis:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:33:18, on 03/12/2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\ATK0100\HControl.exe
C:\Program Files\HTC\HTC Sync\Application Launcher\Application Launcher.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
C:\Program Files\Common Files\Teleca Shared\logger.exe
C:\Windows\ATK0100\ATKOSD.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\HTC\HTC Sync\ClientInitiatedStarter\ClientInitiatedStarter.exe
C:\Program Files\HTC\HTC Sync\Mobile Phone Monitor\epmworker.exe
C:\Program Files\HTC\HTC Sync\Mobile Phone Monitor\DbgOut.exe
C:\Program Files\HTC\HTC Sync\Mobile Phone Monitor\HTCVBTServer.exe
C:\Program Files\HTC\HTC Sync\Mobile Phone Monitor\FsynSrvStarter.exe
D:\Téléchargement\Xinstalateur\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [HControl] C:\Windows\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Mobile Connectivity Suite] "C:\Program Files\HTC\HTC Sync\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D7B3B2D-3304-4190-B1CD-1475BF2D73AF}: NameServer = 192.168.1.1
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6525 bytes


Donc voilà pour tous les processus que j'ai lancé. Je sais pas si c'est suffisant. Dites-moi ce qu'il me reste à faire.
Merci à tous.
Dernière édition par gvertpierre le 05 Mai 2010 16:23, édité 1 fois.
gvertpierre
 
Messages: 13
Inscription: 03 Déc 2009 12:41

Re: infecté par Bagle.

Messagepar nardino » 03 Déc 2009 14:17

Bonjour.

1- Remarque préliminaire : bagle = crack ou autre keygen. :evil:

2- Pour les boucliers sur les raccourcis programmes : cela signifie qu'ils sont sous le contrôle de l'UAC.

3- Pour Firefox : une désinstallation réinstallation peut résoudre le problème.

4- Pour désinstaller FindyKill :
- Ouvre le dossier C:\FindyKill et clique sur le fichier Uninstal.exe.
ou
- Relance l'outil et choisis l'option 3
et
- Supprime le rapport C:\FindyKill.txt manuellement

5- Pour les deux clés : voici une petite manip pour corriger.
Dans un blocnote ( Tous les programmes-Accessoires) tu copies-colles ce qui est ci-dessous.
Dans Format, veille à bien retirer la coche devant Retour à la ligne automatique.
Fais un retour chariot ( Entrée) après la dernière ligne.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000



Dans Fichier, Enregistrer sous, Tous les fichiers, sur le bureau tu enregistres sous le nom fix.reg
Si le fichier obtenu est appelé fix.reg.txt, tu le renommes en supprimant .txt à la fin

Ensuite tu cliques droit sur ce fichier, tu choisis Fusionner et tu acceptes.
Un message t'avertira de la bonne exécution du fix.
L'icône du fichier :
Image

6- Pour Avast, Spybot et Mbam : s'ils ne trouvent rien c'est parce que l'infection semble éradiquée.

7- Pour le contrôle des comptes d'utilisateurs, UAC : tu peux régler le niveau par :
Panneau de configuration > Comptes d'utilisateurs > Modifier les paramètres de contrôle du compte d'utilisateur.
Je te conseille vivement de ne pas descendre plus bas que le niveau deux en partant du bas.

8- La partition C est protégée par l'UAC et n'est pas un lieu où l'on peut bidouiller, c'est une des nouveautés depuis Vista.
Seul le dossier User qui s'y trouve par défaut permet une presque totale liberté.

Je te signale que tu es le premier que je rencontre vérolé par bagle sur Sept. :supers:
Ce virus n'arrive pas tout seul et il faut vraiment participer activement pour qu'il s'installe.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: infecté par Bagle.

Messagepar gvertpierre » 03 Déc 2009 14:55

Wouah! je suis bluffé par la rapidité de la réponse !!!!
En tout cas un grand merci, je vais faire ce que tu me proposes et je vous tiens au courant des résultats.
Merci
gvertpierre
 
Messages: 13
Inscription: 03 Déc 2009 12:41

Re: infecté par Bagle.

Messagepar nardino » 03 Déc 2009 15:46

Bonjour.
Disons que tu as été premier dans un concours de circonstances.
:xpdr:
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: infecté par Bagle.

Messagepar gvertpierre » 03 Déc 2009 22:14

Salut!
donc résultats des courses:

1_Firefox ne se lance toujours pas malgré la ré-installation
2_pour les deux clés, il me met: "Impossible d'importer fix.reg: toutes les données n'ont pas été inscrites correctement dans le Registre. Certaones clés sont ouvertes par le système ou par d'autres processus." J'ai essayé _par le transfert par clé usb de mon fixe sur mon portable, _ en ouvrant le blocnote sur mon portable et recopiant ta citation.
3_Itunes ne se lance plus alors qu'il le faisant avant.
4_je n'ai pas essayer de désinstaller Findykill.

Voilà le point où j'en suis :plaf:
En tout cas merci de m'aider parce que tout seul, je crois que j'aurais balancé mon portable du Mont Eynard........sacré chute quand même :xpdr:
gvertpierre
 
Messages: 13
Inscription: 03 Déc 2009 12:41

Re: infecté par Bagle.

Messagepar nardino » 03 Déc 2009 22:55

Bonsoir

Dans Tous les programmes Mozilla Firefox , tu as deux occurrences, clique sur Mozilla Firefox ( sans échec) et dis-moi le résultat.

Désinstalle FindyKill.

Le problème est que certains outils ne sont pas encore compatible avec Sept.

Tu peux quand même faire un scan avec DrWeb CureIt
Télécharge CureIt Dr.Web (launch.exe)
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Il ne nécessite pas d'installation.
Tu le lances.
Il va te demander de faire la mise à jour et une fois effectuée va lancer un scan rapide.
Quand tout ceci est fait tu choisis scan sélectif et tu coches au moins C.
A la fin du scan, tu mets tout en quarantaine et tu postes le rapport.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: infecté par Bagle.

Messagepar gvertpierre » 04 Déc 2009 10:33

Yo!
Alors voilà où j'en suis:
1_Firefox: quelque soit l'occurence, pas de lancement
2_Findykill: je ne trouve pas le fichier Uninstall.exe et la commande 3 (désinstallation) ne réponds pas. Le fichier provient de: http://pagesperso-orange.fr/NosTools/fyk_page.html
3_Itunes ne réponds toujours pas
4_Dr Web ne se lance pas. [/list]

Waouh! J'ai l'impression que ça part de plus en plus en cacahouete... Je savais que ça n'aller pas etre facile :crazy:

apluche
gvertpierre
 
Messages: 13
Inscription: 03 Déc 2009 12:41

Re: infecté par Bagle.

Messagepar nardino » 04 Déc 2009 10:59

Bonjour.

Nous allons tenter l'utilisation d'un autre outil pas entièrement compatible avec 7 mais je l'ai testé auparavant et il n'a pas bugué.
Télécharge Combofix
IMPORTANT. Enregistre ComboFix.exe sur le Bureau.
Désactive les applications antivirus et anti-malware, en général via un clic droit sur l'icône de la Zone de notification.
Sinon, elles risquent d'interférer avec l'outil.

Fais un clic droit sur l'icône, Exécuter en tant qu'administrateur et suis les invites.

http://i75.servimg.com/u/f75/11/05/93/83/cf-ico10.jpg

Lorsque l'outil aura terminé, il affichera un rapport.
Copie le contenu dans ta prochaine réponse.
Il sera enregistré sous C:\Combofix.txt
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: infecté par Bagle.

Messagepar gvertpierre » 08 Déc 2009 11:19

Salut Nardino!
Désolé de pas avoir répondu ce weekend car en déplacement.
Donc j'ai suivi tes recommandations.
Donc j'ai lancé ComboFix en tant qu'admin. Il m'a mis une fenetre disant de faire attention, j'ai donc annulé pour sauvegarder les fichiers importants. J'ai bien entendu arreter avast, même désinstaller spyBot. Donc, je lance Combofix, il me met seulement la fenetre de progression puis c'est tout. Pas de fichier txt. sur C:\. :plaf:
C'est pas cool ce qui ce passe mais bon, c'est juste un pc... mais ce genre de chose ne m'étais jamais arrivé, ça faire prendre conscience quand même. :learn:
gvertpierre
 
Messages: 13
Inscription: 03 Déc 2009 12:41

Re: infecté par Bagle.

Messagepar nardino » 08 Déc 2009 11:43

Bonjour.

Ton système a dû prendre une bonne claque.
Je crois que tu as intérêt à sauvegarder tes données et à procéder à une réinstallation de ton système.
Voici un "pas à pas" pour bien faire les choses.

http://pagesperso-orange.fr/rue-du-mont ... matage.pdf

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: infecté par Bagle.

Messagepar gvertpierre » 05 Mai 2010 16:20

Bien le bonjour. Cela faisait longtemps que je n'étais pas revenu. Pour ce sujet, j'ai résolu en formatant et ré-installation. C'était pas prévu.
Je clôt donc ce post.
Merci à Nardino
gvertpierre
 
Messages: 13
Inscription: 03 Déc 2009 12:41


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Ahref et 0 invités