[RESOLU] Infection BAGLE sous VISTA

hierry · le 18 janvier 2008

Bonjour

J'ai un gros pb je suis infecté âr Win32.Bagle.SUK d'apres Bitdefender On line

Cf rapport :

BitDefender Online Scanner

Rapport d'analyse généré à: Fri, Jan 18, 2008 - 19:14:06

Voie d'analyse: C:\Windows;

Statistiques

Temps

00:14:26 Fichiers 76449

Directoires 7592

Secteurs de boot 3

Archives 626

Paquets programmes 6935

Résultats Virus identifiés 2

Fichiers infectés 11

Fichiers suspects 0

Avertissements 0

Désinfectés 0

Fichiers effacés 10

Info sur les moteurs Définition virus 892053

Version des moteurs

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins 14

Archive des plugins 38

Unpack des plugins 7

E-mail plugins 6

Système plugins 1

Paramètres d'analyse Première action

Désinfecté Seconde Action

Supprimé Heuristique Oui

Acceptez les avertissements Oui

Extensions analysées *;

Excludez les extensions

Analyse d'emails Oui

Analyse des Archives Oui

Analyser paquets programmes Oui

Analyse des fichiers Oui

Analyse de boot Oui

Fichier analysé Statut

C:\Windows\System32\drivers\down\217324.exe Infecté par: Win32.Beagle.FQ

C:\Windows\System32\drivers\down\217324.exe Echec de la désinfection

C:\Windows\System32\drivers\down\217324.exe Supprimé

C:\Windows\System32\drivers\down\54678.exe Infecté par: Win32.Beagle.FQ

C:\Windows\System32\drivers\down\54678.exe Echec de la désinfection

C:\Windows\System32\drivers\down\54678.exe Supprimé

C:\Windows\System32\drivers\down\623847.exe Infecté par: Win32.Beagle.FQ

C:\Windows\System32\drivers\down\623847.exe Echec de la désinfection

C:\Windows\System32\drivers\down\623847.exe Supprimé

C:\Windows\System32\drivers\down\629978.exe Infecté par: Win32.Bagle.STX@mm

C:\Windows\System32\drivers\down\629978.exe Supprimé

C:\Windows\System32\drivers\down\635657.exe Infecté par: Win32.Beagle.FQ

C:\Windows\System32\drivers\down\635657.exe Echec de la désinfection

C:\Windows\System32\drivers\down\635657.exe Supprimé

C:\Windows\System32\drivers\down\68656.exe Infecté par: Win32.Beagle.FQ

C:\Windows\System32\drivers\down\68656.exe Echec de la désinfection

C:\Windows\System32\drivers\down\68656.exe Supprimé

C:\Windows\System32\drivers\down\73648.exe Infecté par: Win32.Beagle.FQ

C:\Windows\System32\drivers\down\73648.exe Echec de la désinfection

C:\Windows\System32\drivers\down\73648.exe Supprimé

C:\Windows\System32\drivers\down\74693.exe Infecté par: Win32.Bagle.STX@mm

C:\Windows\System32\drivers\down\74693.exe Supprimé

C:\Windows\System32\drivers\down\96923.exe Infecté par: Win32.Bagle.STX@mm

C:\Windows\System32\drivers\down\96923.exe Supprimé

C:\Windows\System32\drivers\down\99310.exe Infecté par: Win32.Beagle.FQ

C:\Windows\System32\drivers\down\99310.exe Echec de la désinfection

C:\Windows\System32\drivers\down\99310.exe Supprimé

C:\Windows\System32\mdelk.exe Infecté par: Win32.Beagle.FQ

C:\Windows\System32\mdelk.exe Echec de la désinfection

C:\Windows\System32\mdelk.exe Echec de la suppression

*************************************

voila le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:50:24, on 18/01/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Windows\System32\mobsync.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_SL.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Windows\System32\rundll32.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\thierry\Downloads\ADSL\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.carrefour.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O13 - Gopher Prefix:

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

--

End of file - 7055 bytes

au secours quelqu'un peut-il m'aider je ne peut plus lancer Avast, ni Defender, ni CCcleaner

Modifié le 23 janvier 2008 par hierry

oGu · le 18 janvier 2008

Salut,

Beagle s'installe via des cracks...Est-ton cas? Si oui, quel logiciel/jeu as-tu essayé de cracker?

Merci donc de relire:

-la charte du forum:

http://forum.zebulon.fr/index.php?act=SR&f=40

-l'article sur les dangers des cracks:

http://forum.zebulon.fr/index.php?showtopic=85544

La première chose à faire est de désinstaller/supprimer/nettoyer le logiciel cracké à l'origine du problème;

Fais donc le ménage en désinstallant ce logiciel, puis finis le travail à la main en supprimant les fichiers présents dans C:\Program Files. Fais également une recherche avec l'outil XP pour trouver puis supprimer tous les fichiers ayant un rapport avec ce logiciel...

Télécharge ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place-le sur ton bureau.
Double-clique dessus pour l'ouvrir
Assure-toi que dans le menu déroulant Unidad, tu ais bien C:\
Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
Cliquez sur le bouton Explorar pour lancer l'analyse

Le fix va redémarrer ton PC s'il trouve Beagle puis créer un rapport: il se trouve ici > C:\InfoSat.txt. Poste-le dans ta prochaine réponse.

Modifié le 23 janvier 2008 par ogu

hierry · le 18 janvier 2008

Tout d'abord merci de t'attarder sur mon problème

J'ai effectivement tenté de lancer un crack pour un logiciel de test de proxy pour la premiere fois de ma vie et la derniere fois de ma vie je pense.

Je vais donc essayer de désinstaller et de nettoyer et suivre tes instructions.

je te tiens au courant

PS je suis sous VISTA

Merci encore

Modifié le 18 janvier 2008 par hierry

oGu · le 18 janvier 2008

PS je suis sous VISTA

J'avais vu. c'est la première fois que je désinfecte Vista, aussi peut-être faudra-t-il désactiver l'UAC...On verra.

hierry · le 18 janvier 2008

J'avais vu. c'est la première fois que je désinfecte Vista, aussi peut-être faudra-t-il désactiver l'UAC...On verra.

Je l'avais déjà desactivé, trop gênant, analyse en cours

Voici le rapport MAIS IL N'Y A PAS EU DE REDÉMARRAGE DE VISTA

Fri Jan 18 20:12:53 2008

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Fri Jan 18 20:13:27 2008

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Spybot - Search & Destroy\TEATIMER.EXE --> Eliminado Bagle.dldr

C:\Users\thierry\Downloads\eMule\Incoming\FORUM PROXY LEECHER 1.08 BUILD 824.ZIP --> Eliminado Bagle.dldr

C:\Users\thierry\Downloads\eMule\Incoming\FORUM PROXY LEECHER 1.10 KEY.ZIP --> Eliminado Bagle.dldr

C:\Users\thierry\Downloads\eMule\Incoming\FORUM PROXY LEECHER 1.10.ZIP --> Eliminado Bagle.dldr

Nº Total de Directorios: 18714

Nº Total de Ficheros: 325851

Nº de Ficheros Analizados: 13904

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 4

Modifié le 18 janvier 2008 par hierry

hierry · le 18 janvier 2008

Rapport posté mais j'ai eu des erreur d'acces sur

C:\windows\Registration\CRMLog (16)

C:\windows\system32\com\dmp (16)

C:\windows\system32\logfiles\WMI\\RtBackup (16)

C:\windows\system32\lspool\printers (16)

Modifié le 18 janvier 2008 par hierry

hierry · le 18 janvier 2008

Bon j'ai donc fait tourner ton programme comme il ne redémarrait pas j'ai redémarré à la main.

Le programme a retourné tout seul une nouvelle fois avant ouverture Windows Vista.

Je l'ai fait tourner plusieurs fois !!!

apparemment le prg de crack se lance toujours au démarrage !

Rapports :

Fri Jan 18 21:36:23 2008

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Fri Jan 18 21:36:30 2008

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 18715

Nº Total de Ficheros: 325884

Nº de Ficheros Analizados: 13900

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Fri Jan 18 22:55:15 2008

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Fri Jan 18 22:55:59 2008

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 18708

Nº Total de Ficheros: 325774

Nº de Ficheros Analizados: 13900

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Fri Jan 18 23:22:36 2008

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Fri Jan 18 23:24:22 2008

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 18710

Nº Total de Ficheros: 325718

Nº de Ficheros Analizados: 13900

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Sat Jan 19 00:17:41 2008

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Sat Jan 19 00:18:21 2008

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 18683

Nº Total de Ficheros: 217857

Nº de Ficheros Analizados: 13895

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

****************************************************************************************************

Nouveau rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:39:15, on 19/01/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Users\thierry\Desktop\HijackThis.exe