Trojan W32.Beagle.DZ

[popolo]

bonjour mon PC est infecté, je crois avoir identifié grace à vos nombreux et precieux conseil le virus comme etant Trojan W32.Beagle.DZ. mon probleme c'est que ce virus detruit l'exe de mon antivirus ClamWin donc pas possible de lancer un scan. j'ai essayé d'installer un autre antivirus AVG mais impossible ( l'exe est effacer aussitot qu'il est crée...)

de plus ce virus m'empeche de redemarrer en mode sans echec si ce type de boot est selectionner le pc boot en boucle jusqu'a ce que je choisisse le mode normal.

quelqu'un pourrait il me depanner?

merci d'avance.

[bruce lee]

bonjour popolo et bienvenue sur zebulon

 

telecharge la version original de hijackthis http://www.merijn.org/files/hijackthis.zip

 

déconnecte toi du net et installe le et installe le sur ton bureau

 

lance le en cliquant sur Do a system scan and save a logfile a la fin du scan le bloc note va s'ouvrir tu fais un copier coller de tout son contenu.

[popolo]

pardon je supprime ce log j'étais encore en ligne et avec des applications qui tourné...

Modifié le 8 janvier 2007 par popolo

[popolo]

d apres symantec mon virus viendrai d'un fichier nommé wintems.exe. je l'ai localisé dans .../windows/system32 mais pas moyen de le supprimer. lors de la tentative de suppression j'ai un message acés refusé...

[popolo]

voici le log de hijack apres un scan fait correctement...

 

Logfile of HijackThis v1.99.1

Scan saved at 03:26:02, on 08/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE

C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Documents and Settings\Je\Bureau\Hijak.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.zonelabs.com/downloadrequest...eqId=1196764979

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.12.6:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 65.54.239.80 dp.msnmessenger.akadns.net

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe

O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Suitcase Startup.lnk = ?

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

merci beaucoup pour votre aide...

[popolo]

j'ai repris votre tres complet tutoriel d'analyse mais pas moyen de demarrer windows en mode sans echec...

lors de mes tentatives je vois les pilotes se charger un par un jusqu'à l'apparition furtive d'un ecran bleue puis retour au calcul de la RAM...

je ne peux démarrer qu'en mode normal, mais dans ce mode impossible d'installer le moindre antivirus, ni AVG, ni ClamWin, ni antivir.

pourriez vous me dépanner

merci d'avance

[popolo]

s il vous plait je desespere un peu

[bruce lee]

bonjour,

 

patiente la journée je travail.

 

telecharge et installe http://www.medsyn.fr/assistance/securite/o...n/FixBeagle.exe

 

Execute le fix et dis moi ce que ca donne (si il y a un rapport poste le moi)

[popolo]

merci de ta reponse et excuse moi si je t'ai paru impatient, j'apprecie enormement votre aide.

 

j'ai suivis tes instructions mais cela n'as pas resolu mon probleme, voici le rapport de FixBeagle

 

W32.Beagle[A-K,U,W-Z,AB,AC,AG,AO,AR,AU-AW]@mm FixTool 1.4.2

 

 

registry: HKEY_USERS\S-1-5-21-1202660629-1580436667-854245398-1003\SOFTWARE\DateTime4: uid (value deleted)

registry: HKEY_USERS\S-1-5-21-1202660629-1580436667-854245398-1003\SOFTWARE\DateTime4: port (value deleted)

 

C:\Documents and Settings\Je\Local Settings\Application Data\Microsoft\Messenger\AAA@hotmail.com\SharingMetadata\XXX@hotmail.com\DFSR\Staging\CS{4586E83B-EA9F-EA4A-9E8B-93547239CCD9}\01\10-{4586E83B-EA9F-EA4A-9E8B-93547239CCD9}-v1-{ED28798A-7ECD-4127-B4A1-6B6F7D133951}-v10-Downloaded.frx (WARNING: not scanned, path to long)

C:\Documents and Settings\Je\Local Settings\Application Data\Microsoft\Messenger\AAA@hotmail.com\SharingMetadata\XXX@hotmail.com\DFSR\Staging\CS{4586E83B-EA9F-EA4A-9E8B-93547239CCD9}\01\10-{4586E83B-EA9F-EA4A-9E8B-93547239CCD9}-v1-{ED28798A-7ECD-4127-B4A1-6B6F7D133951}-v10-Downloaded.frx (WARNING: not scanned, path to long)

C:\Documents and Settings\Je\Local Settings\Application Data\Microsoft\Messenger\AAA@hotmail.com\SharingMetadata\XXX@hotmail.com\DFSR\Staging\CS{4586E83B-EA9F-EA4A-9E8B-93547239CCD9}\11\12-{7405D7BF-5CCE-43EA-A793-005F48EDBECA}-v11-{7405D7BF-5CCE-43EA-A793-005F48EDBECA}-v12-Downloaded.frx (WARNING: not scanned, path to long)

C:\Documents and Settings\Je\Local Settings\Application Data\Microsoft\Messenger\AAA@hotmail.com\SharingMetadata\XXX@hotmail.com\DFSR\Staging\CS{4586E83B-EA9F-EA4A-9E8B-93547239CCD9}\11\12-{7405D7BF-5CCE-43EA-A793-005F48EDBECA}-v11-{7405D7BF-5CCE-43EA-A793-005F48EDBECA}-v12-Downloaded.frx (WARNING: not scanned, path to long)

C:\System Volume Information: (not scanned)

W32.Beagle[A-K, U, W-Z, AB, AC, AG, AO, AR, AU-AW]@mm has not been found on your computer.

[bruce lee]

re,

 

ton infection se place normalement au demarrage mais hijackthis ne nous la montre pas....

 

1/telecharge silent runners http://www.silentrunners.org/Silent%20Runners.vbs

(fait clique droit sur le lien, puis enregistrer la cible sous)

 

2/déconnecte toi du net et ferme toutes les applications en cours.

 

3/lance silent runners laisse le travailler quand il aura finit de scanner tu en sauras averti par un message et un nouveau fichier texte sera crée ouvre ce fichier texte et colle la totalité du rapport.