Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Services désactivés, AVG et Mc Afee déconnectés, Hijackthis ne fonctio

MVH

Par MVH
dans Analyses et éradication malwares

 Partager

Messages recommandés

MVH Junior Member

MVH

Posté(e)
Posté(e)

Bonjour,

 

J'ai un gros gros soucis.

 

Depuis quelques jours mon PC se comporte de manière bizarre.

 

Des services sont visiblement désactivés (impossible d'utiliser Windows Update par exemple), mon Firewall McAfee est déconnecté, l'analyse en temps réel de fichiers par Mc Antivirus également (impossible de le refaire fonctionner en cliquant sur "corriger" dans McAfee Security Center)

 

De plus, Avg antispyware ne se connecte plus au service donc il ne fonctionne pas (message d'erreur me demandant de le réinstaller)

 

HijackThis ne démarre pas (message d'erreur: "... n'est pas une application Win32 valide")

 

Bref, impossible pour vous de vous publier un rapport quelconque.

 

Je signale que l'antivirus fonctionnent si on lance manuellement une analyse mais il ne détecte apparement rien. J'ai McAfee VirusScan Plus 2008, AVG Antispyware 7.5.

 

Aidez-moi svp je n'en peux plus

 

Merci d'avance

 

:P

Invité pear

Invité pear

Posté(e)
Posté(e)

Bonjour MVH,

 

Vous avez décrit une infection Bagle.

 

Ne pas utiliser le mode Sans Echec !

Vider la corbeille.

 

* Faire un scan en ligne

Kaspersky

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

 

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisir bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème :

Cybersécurité

NOTE: Le scan est à faire avec Internet Explorer.

 

Télécharger ELIBAGLA en bas de cette page >

* Cliquer sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur le bureau.

* Double-cliquer dessus pour l'ouvrir.

* S'assurer que dans le menu déroulant Unidad, il y ait bien C:\

* Vérifier aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.

* Cliquer sur le bouton Explorar pour lancer l'analyse.

 

Poster le rapport ELIBAGLA qui se trouve ici > C:\InfoSat.txt

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour MVH,

 

Vous avez décrit une infection Bagle.

 

Ne pas utiliser le mode Sans Echec !

Vider la corbeille.

 

* Faire un scan en ligne

Kaspersky

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

 

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisir bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème :

Cybersécurité

NOTE: Le scan est à faire avec Internet Explorer.

 

 

Télécharger ELIBAGLA en bas de cette page >

* Cliquer sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur le bureau.

* Double-cliquer dessus pour l'ouvrir.

* S'assurer que dans le menu déroulant Unidad, il y ait bien C:\

* Vérifier aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.

* Cliquer sur le bouton Explorar pour lancer l'analyse.

 

Poster le rapport ELIBAGLA qui se trouve ici > C:\InfoSat.txt

MVH Junior Member

MVH

Posté(e)
  • Auteur
Posté(e)

OK mais c'est très long vu que j'ai plusieurs DD.

Déjà 10 heures que ça tourne et le scan process n'est qu'à 57 % !!

 

Petite question au passage: vous ne précisez pas si je dois utiliser une fonction de Kapersky pour supprimer les virus et/ou fichiers infectés, si cela se fera automatiquement ou s'il ne faut rien faire d'autre que sauvegarder le rapport. Je sais ça peut paraître con comme question mais votre lien vers Cybersécurité ne le précise pas non plus.

 

J'espère vous relire avant la publication des rapports quand le scan sera achevé. Ca sera dans la soirée certainement.

 

Merci d'avance

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Kaspersky ne désinfecte pas en ligne.

 

Le ferait-il qu'il serait impuissant contre bagle qui est très coriace parfois.

Si vous avez de la chance, le premier passage d'Elibagla ne vous permettra que de de récupérer le mode sans échec.

Soyez donc patient et attentif.

MVH Junior Member

MVH

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci pour votre réponse.

 

Voici déjà le rapport Kapersky, la suite vient plus bas...

 

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER REPORT

Wednesday, May 14, 2008 6:16:41 PM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.98.0

Kaspersky Anti-Virus database last update: 13/05/2008

Kaspersky Anti-Virus database records: 770423

-------------------------------------------------------------------------------

 

Scan Settings:

Scan using the following antivirus database: extended

Scan Archives: true

Scan Mail Bases: true

 

Scan Target - My Computer:

A:\

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

 

Scan Statistics:

Total number of scanned objects: 296210

Number of viruses found: 5

Number of infected objects: 28

Number of suspicious objects: 0

Duration of the scan process: 14:10:31

 

Infected Object Name / Virus Name / Last Action

C:\Documents and Settings\All Users\Application Data\McAfee\MNA\NAData Object is locked skipped

C:\Documents and Settings\All Users\Application Data\McAfee\MSC\Logs\Events.dat Object is locked skipped

C:\Documents and Settings\All Users\Application Data\McAfee\MSC\Logs\{86126C57-2BB9-4E60-8B0C-EDDBD7549AC8}.log Object is locked skipped

C:\Documents and Settings\All Users\Application Data\McAfee\MSC\McUsers.dat Object is locked skipped

C:\Documents and Settings\All Users\Application Data\McAfee\VirusScan\Data\TFR2F.tmp Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex\SystemIndex.91.Crwl Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex\SystemIndex.91.gthr Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\MSS.log Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010001.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010002.ci Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010002.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010002.wsb Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010004.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010005.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010006.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010007.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010008.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010009.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000A.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010011.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010012.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010013.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010014.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010015.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010016.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010017.wid Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\INDEX.000 Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\PropMap\CiPT0000.000 Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\PropMap\Used0000.000 Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SecStore\CiST0000.000 Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SystemIndex.chk1.gthr Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SystemIndex.chk2.gthr Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SystemIndex.Ntfy3.gthr Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\tmp.edb Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Windows.edb Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\mvh\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Application Data\Microsoft\CardSpace\CardSpace.db Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Application Data\Microsoft\CardSpace\CardSpace.db.shadow Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Application Data\Microsoft\Messenger\marc_vanhemelryck@hotmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Application Data\Microsoft\Messenger\marc_vanhemelryck@hotmail.com\SharingMetadata\pending.dat Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Application Data\Microsoft\Messenger\marc_vanhemelryck@hotmail.com\SharingMetadata\Working\database_6894_7897_9478_6988\dfsr.db Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Application Data\Microsoft\Messenger\marc_vanhemelryck@hotmail.com\SharingMetadata\Working\database_6894_7897_9478_6988\fsr.log Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Application Data\Microsoft\Messenger\marc_vanhemelryck@hotmail.com\SharingMetadata\Working\database_6894_7897_9478_6988\fsrtmp.log Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Application Data\Microsoft\Messenger\marc_vanhemelryck@hotmail.com\SharingMetadata\Working\database_6894_7897_9478_6988\tmp.edb Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Application Data\Microsoft\Windows Live Contacts\marc_vanhemelryck@hotmail.com\real\members.stg Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Temp\~DF178A.tmp Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Temp\~DF1D17.tmp Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped

C:\Documents and Settings\mvh\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\mvh\ntuser.dat Object is locked skipped

C:\Documents and Settings\mvh\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Ntf3.tmp Object is locked skipped

C:\Ntf4.tmp Object is locked skipped

C:\Program Files\eMule\Incoming\La_cave_du_sommelier_1.27_[Crack].zip/La_cave_du_sommelier_1.27_[Crack].exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\Program Files\eMule\Incoming\La_cave_du_sommelier_1.27_[Crack].zip ZIP: infected - 1 skipped

C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP213\A0052552.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP213\A0052553.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP214\A0052573.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP214\A0052896.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP214\A0052916.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP215\A0052961.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP215\A0052989.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP215\A0053016.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP216\A0053045.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP216\A0053370.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP216\A0054525.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP216\A0054570.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP217\A0054831.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP219\A0055055.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP221\A0055293.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP221\A0055335.exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP222\change.log Object is locked skipped

C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe Object is locked skipped

C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe Object is locked skipped

C:\WINDOWS\$NtServicePackUninstall$\ntoskrnl.exe Object is locked skipped

C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe Object is locked skipped

C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe Object is locked skipped

C:\WINDOWS\CSC\00000001 Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe Object is locked skipped

C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Object is locked skipped

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Object is locked skipped

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Object is locked skipped

C:\WINDOWS\SoftwareDistribution\EventCache\{F6FE53CF-0935-4297-AD92-1F3F8FD43CA9}.bin Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\Internet.evt Object is locked skipped

C:\WINDOWS\system32\config\ODiag.evt Object is locked skipped

C:\WINDOWS\system32\config\OSession.evt Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\Temp\mcmsc_HR5n5REaMIRZqoH Object is locked skipped

C:\WINDOWS\Temp\mcmsc_sbXMq9Canprgimx Object is locked skipped

C:\WINDOWS\Temp\mcmsc_XwU8m4eYozx4aJy Object is locked skipped

C:\WINDOWS\Temp\usgthrsvc\Perflib_Perfdata_b10.dat Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

D:\Sites Web\Stade Everois\toolbar\stade_everois.exe/stream/data0013 Infected: not-a-virus:AdWare.Win32.MyTool.f skipped

D:\Sites Web\Stade Everois\toolbar\stade_everois.exe/stream Infected: not-a-virus:AdWare.Win32.MyTool.f skipped

D:\Sites Web\Stade Everois\toolbar\stade_everois.exe NSIS: infected - 2 skipped

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

E:\cavesommelier\La_cave_du_sommelier_1.27_[Crack].exe Infected: Trojan-Downloader.Win32.Bagle.nz skipped

E:\Nero 7\Nero-7.7.5.1_fra_trial.exe/Toolbar.exe Infected: not-a-virus:AdTool.Win32.MyWebSearch.bm skipped

E:\Nero 7\Nero-7.7.5.1_fra_trial.exe RAR: infected - 1 skipped

E:\SmitfraudFix.zip/SmitfraudFix/Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped

E:\SmitfraudFix.zip ZIP: infected - 1 skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\Alien\ntoskrnl.exe Object is locked skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\Angel300\ntoskrnl.exe Object is locked skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\Anime\ntoskrnl.exe Object is locked skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\Awakening\ntoskrnl.exe Object is locked skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\BlackWarriors\ntoskrnl.exe Object is locked skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\bootkopia\ntoskrnl.exe Object is locked skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\Cartoon\ntoskrnl.exe Object is locked skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\catrin\ntoskrnl.exe Object is locked skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\elektric\ntoskrnl.exe Object is locked skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\eye\ntoskrnl.exe Object is locked skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\Kabuki\ntoskrnl.exe Object is locked skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\MysticFace\ntoskrnl.exe Object is locked skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\sky\ntoskrnl.exe Object is locked skipped

E:\Style XP\V.3.19\stylelife\style_xp\BootScreens\ydragon\ntoskrnl.exe Object is locked skipped

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

E:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP222\change.log Object is locked skipped

E:\Titel Bar Clock\kg.exe Infected: Trojan.Win32.Crypt.e skipped

I:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

J:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

 

Scan process completed.

 

... et voici le rapport Elibagla:

 

 

Wed May 14 18:22:37 2008

EliBagle v11.34 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

 

Wed May 14 18:23:42 2008

EliBagle v11.34 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\eMule\Incoming\LA_CAVE_DU_SOMMELIER_1.27_[CRACK].ZIP --> Eliminado Bagle.dldr

C:\Program Files\Fichiers communs\Ahead\Lib\NEROCHECK.EXE --> Eliminado Bagle.dldr

 

Nº Total de Directorios: 11491

Nº Total de Ficheros: 152326

Nº de Ficheros Analizados: 14244

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

 

 

 

Dans l'attente de votre commentaire

 

MVH

Modifié par MVH
pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Voici les fichiers infectés:

C:\Program Files\eMule\Incoming\La_cave_du_sommelier_1.27_[Crack].zip/La_cave_du_sommelier_1.27_[Crack].exe => Trojan-Downloader.Win32.Bagle.nz

C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP213\A0052552.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP213\A0052553.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP214\A0052573.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP214\A0052896.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP214\A0052916.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP215\A0052961.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP215\A0052989.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP215\A0053016.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP216\A0053045.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP216\A0053370.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP216\A0054525.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP216\A0054570.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP217\A0054831.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP219\A0055055.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP221\A0055293.exe => Trojan-Downloader.Win32.Bagle.nz

C:\System Volume Information\_restore{42B7C4EB-DCBE-484A-8DD8-64E1B2A6EC0E}\RP221\A0055335.exe => Trojan-Downloader.Win32.Bagle.nz

D:\Sites Web\Stade Everois\toolbar\stade_everois.exe/stream/data0013 => not-a-virus:AdWare.Win32.MyTool.f

D:\Sites Web\Stade Everois\toolbar\stade_everois.exe/stream => not-a-virus:AdWare.Win32.MyTool.f

E:\cavesommelier\La_cave_du_sommelier_1.27_[Crack].exe => Trojan-Downloader.Win32.Bagle.nz

E:\Nero 7\Nero-7.7.5.1_fra_trial.exe/Toolbar.exe => not-a-virus:AdTool.Win32.MyWebSearch.bm

E:\SmitfraudFix.zip/SmitfraudFix/Reboot.exe => not-a-virus:RiskTool.Win32.Reboot.f

E:\Titel Bar Clock\kg.exe => Trojan.Win32.Crypt.e

 

On y voit bien l'origine du problème.

 

Désinstallez la Restauration Système.

 

Poste de Travail->Propriétés->Restauration Système.

Décocher la Restauration sur tous les lecteurs.

 

Vous la rétablirez ensuite.

Un nouveau point de restauration sera créé.

 

Supprimez ces fichiers:

C:\Program Files\eMule\Incoming\La_cave_du_sommelier_1.27_[Crack].zip/La_cave_du_sommelier_1.27

E:\cavesommelier\La_cave_du_sommelier_1.27_[Crack].exe

 

sinon l'infection se renouvelle.

MVH Junior Member

MVH

Posté(e)
  • Auteur
Posté(e)
Supprimez ces fichiers:

C:\Program Files\eMule\Incoming\La_cave_du_sommelier_1.27_[Crack].zip/La_cave_du_sommelier_1.27

E:\cavesommelier\La_cave_du_sommelier_1.27_[Crack].exe

 

sinon l'infection se renouvelle.

 

Je l'ai fait mais au redémarrage de Windows, Elibagle démarre en premier une fois sur le bureau, je le lance et il retrouve toujours un fichier à supprimer.

 

Voici l'état du rapport depuis la première exécution

 

 

Wed May 14 18:22:37 2008

EliBagle v11.34 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

 

Wed May 14 18:23:42 2008

EliBagle v11.34 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\eMule\Incoming\LA_CAVE_DU_SOMMELIER_1.27_[CRACK].ZIP --> Eliminado Bagle.dldr

C:\Program Files\Fichiers communs\Ahead\Lib\NEROCHECK.EXE --> Eliminado Bagle.dldr

 

Nº Total de Directorios: 11491

Nº Total de Ficheros: 152326

Nº de Ficheros Analizados: 14244

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

 

Wed May 14 21:23:29 2008

EliBagle v11.34 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Wed May 14 21:23:46 2008

EliBagle v11.34 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Wed May 14 21:27:56 2008

EliBagle v11.34 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Wed May 14 21:28:00 2008

EliBagle v11.34 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Fichiers communs\Ahead\Lib\NEROCHECK.EXE --> Eliminado Bagle.dldr

 

Nº Total de Directorios: 11479

Nº Total de Ficheros: 144984

Nº de Ficheros Analizados: 14236

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

 

Thu May 15 08:57:52 2008

EliBagle v11.34 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Thu May 15 09:02:22 2008

EliBagle v11.34 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Thu May 15 09:02:27 2008

EliBagle v11.34 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Fichiers communs\Ahead\Lib\NEROCHECK.EXE --> Eliminado Bagle.dldr

 

Nº Total de Directorios: 11482

Nº Total de Ficheros: 145084

Nº de Ficheros Analizados: 14236

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

 

 

 

 

Dans l'attente de votre commentaire

Merci

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Cela avance bien.

 

Vous pouvez désormais utiliser le mode sans échec.

 

Démarrer en mode sans 2chec et relancez Elibagla.

 

Probalement, il faudra le refaire jusqu'à élimination complète de Bagle.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...