Virus Bagle

[IceQube]

Bonjour,

 

(desole pas d accent sur le pc que j utilise)

 

Mon ordinateur a ete infecte par le virus bagle et je n ai plus acces ni a internet ni a mon antivirus.

Je me connecte depuis un autre ordinateur et je voudrai savoir ce que je dois faire.

 

Merci beaucoup d avance pour votre aide.

[pear]

Bonsoir,

 

color=#0000FF]

Ne pas utiliser le mode Sans Echec !

Vider la corbeille.

* Faire un scan en ligne

NOTE: Le scan est à faire avec Internet Explorer.

Kaspersky

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisir bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème :

Cybersécurité

 

[/color]

 

Ne pas utiliser le mode Sans Echec !

Télécharger ELIBAGLA

en bas de page

* Cliquer sur le bouton Descargar Elibagla :cela va télécharger le fichier, placez le sur le bureau.

* Double-cliquer dessus pour l'ouvrir.

* S'assurer que dans le menu déroulant Unidad, il y ait bien C:\

* Vérifier aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.

* Cliquer sur le bouton Explorar pour lancer l'analyse.

 

Poster le rapport ELIBAGLA qui se trouve ici > C:\InfoSat.txt

 

en cas de problème, renommer Elibagla en Eli-bagla.exe avant le téléchargement pour traiter cette infection.I

en suivant cette méthode:

méthode illustrée

Cette infection Bagle peut endommager votre connexion wifi, vous obtenez alors l'erreur 1068.

Voici une procédure à suivre, après désinfection:

Résoudre les erreurs 1068

Elle transforme le PC infecté en machine zombie, ce qui signifie que la machine fait partie d'un Botnet qui permet à un malfaiteur de contrôler le PC à distance et de le faire spammer ou attaquer des cibles choisies - à volonté.

Ce Botnet compte quelques centaines de milliers de PCs infectés, aux quatre coins du globe.

Bagle détruit antivirus et pare-feu (si présents) en plus de désactiver le Centre de Sécurité Windows et plus encore,

[IceQube]

Salut,

 

N ayant plus acces a internet je n ai pas pu faire la verification en ligne. Par contre j ai pu faire l analyse avec elibagla.

 

Voila le rapport :

 

Merci

 

 

Tue Jun 17 18:35:15 2008

EliBagle v11.47 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\MURIEL\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\MURIEL\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

 

Tue Jun 17 18:45:31 2008

EliBagle v11.47 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192612.SYS --> Eliminado Bagle (rootkit)

 

Nº Total de Directorios: 5913

Nº Total de Ficheros: 93232

Nº de Ficheros Analizados: 9553

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[pear]

Bonsoir,

Restaurada Clave: "SafeBoot\Minimal y Network"

Vous avez retrouvé le mode sans échec.

 

C'est bien.

Relancez Elibagla en mode sans échec , s'il le faut plusieurs fois jusqu'à élimination complète de Bagle.

[IceQube]

Voila le nouveau rapport d elibagla, ca a l air d avoir bien fonctionne.

 

Est ce aue je dois encore le relancer ?

 

RAPPORT ELIBAGLA:

 

 

Tue Jun 17 18:35:15 2008

EliBagle v11.47 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\MURIEL\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\MURIEL\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

 

Tue Jun 17 18:45:31 2008

EliBagle v11.47 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192612.SYS --> Eliminado Bagle (rootkit)

 

Nº Total de Directorios: 5913

Nº Total de Ficheros: 93232

Nº de Ficheros Analizados: 9553

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

 

Tue Jun 17 21:02:48 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

 

Tue Jun 17 21:03:07 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192645.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192646.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\196390.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\258031.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\311765.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\350906.EXE --> Eliminado Bagle

 

Nº Total de Directorios: 4354

Nº Total de Ficheros: 60134

Nº de Ficheros Analizados: 9415

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7

[pear]

Est ce aue je dois encore le relancer ?

 

Oui, svp.

[IceQube]

Voila le nouveau rapport. Il a encore supprimé 5 fichiers.

Merci

 

 

Tue Jun 17 18:35:15 2008

EliBagle v11.47 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\MURIEL\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\MURIEL\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

 

Tue Jun 17 18:45:31 2008

EliBagle v11.47 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192612.SYS --> Eliminado Bagle (rootkit)

 

Nº Total de Directorios: 5913

Nº Total de Ficheros: 93232

Nº de Ficheros Analizados: 9553

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

 

Tue Jun 17 21:02:48 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

 

Tue Jun 17 21:03:07 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192645.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192646.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\196390.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\258031.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\311765.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\350906.EXE --> Eliminado Bagle

 

Nº Total de Directorios: 4354

Nº Total de Ficheros: 60134

Nº de Ficheros Analizados: 9415

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7

 

Tue Jun 17 21:36:10 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Tue Jun 17 21:36:13 2008

EliBagle v11.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192648.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192649.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192650.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192651.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP301\A0192652.EXE --> Eliminado Bagle

 

Nº Total de Directorios: 4355

Nº Total de Ficheros: 60138

Nº de Ficheros Analizados: 9413

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

[pear]

Bonsoir,

 

Désinstallez la Restauration Système.

 

Poste de Travail->Propriétés->Restauration Système.

Décocher la Restauration sur tous les lecteurs.

Vous la rétablirez ensuite.

Un nouveau point de restauration sera créé.

 

Relancez elibagla jusqu'à ce que rien ne soit trouvé.

 

Ensuite:

 

*Tutorial eScan Antivirus Toolkit:

 

Vous ne verrez pas pas ce dossier pendant la procédure, vous devrez donc l'imprimer.

 

 

Télécharger eScan Antivirus Toolkit

. Sauvegardez-le sur le Bureau.

 

Double-cliquer sur le fichier mwav.exe qui se trouve sur le Bureau ;

dézipper les fichiers dans un nouveau dossier C:\Kaspersky

Le programme va se lancer, le quitter en cliquant sur "Exit" puis "Exit".

Double-cliquer sur le fichier kavupd.exe.

Une fenêtre DOS va apparaître, et la mise à jour se complètera en quelques minutes dans un fichier C:\Download.

 

Vous verrez alors "Press any key to continue" ;

Tapez sur une touche pour continuer.

Fermer le programme par Exit.

Fermer toutes les fenêtres de l'Explorateur (ou du "Poste de Travail").

 

*Important* : afin de compléter la mise à jour, il faut maintenant faire ceci :

 

Naviguer vers le répertoire C:\Downloads et Copier tout son contenu

- et le coller dans le répertoire C:\Kaspersky

- Accepter le remplacement des fichiers existants

- Fermer l'Explorateur (ou le Poste de Travail).

 

Ne pas lancer le scan tout de suite !

 

Redémarrer en mode Sans Échec , votre session usuelle

Une nouvelle fenêtre s'affiche "Bureau" : cliquer sur OUI

 

Dans le dossier C:\Kaspersky, Double-cliquer sur mwavscan.com ;

l'interface d'eScan va apparaître à l'écran.

 

bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

Cocher la boîte Drive, ce qui activera All Local Drive (bouton rond) juste dessous ;

assurez vous que ce dernier est bien activé.

que Scan All Files est coché, et non Program Files.

 

Cliquer sur Scan Clean et laisse l'outil vérifier tout le disque dur (ça peut être long..).

Lorsque terminé, Scan Completed apparait.

Ne pas quitter tout de suite !

 

Ouvrir le Bloc notes émarrer->Programmes->Accessoires->Bloc notes, puis y copier/coller tout le contenu de la fenêtre Virus Log Information (la deuxième, en bas)et sauvegardez-le sous log.txt.

**L'outil ne permettra pas faire un "Copier/Coller" avec sélection du texte avec la souris ;

Il faut cliquer une fois dans la fenêtre "Virus Log Information", puis presser les touches Ctrl A pour séléctionner, CTRL C pour copier et CTRL V pour coller le texte dans le Bloc-notes.

Fermer le programme.

Redémarrer en mode Normal.

Poster le rapport pécédemment sauvegardé(log.txt) dans la prochaine réponse.

(eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log) trop lourd pour le forum.,)

[IceQube]

Bonsoir,

 

je suis en train de faire l'analyse avec eScan mais par contre je n'ai pas pu faire la phase de mise à jour étant donné que je n'ai pas l'accès à internet sur l'ordinateur infecté. J'espère que cette analyse sera utile quand même.

 

Je poste les résultats du scan dès que c'est fini.

 

Merci

[IceQube]

Voila le rapport de eScan, en effet l'analyse a été longue, plus de 3h !

Je crois qu'il y avait un virus de msn sur l'ordinateur.

 

File C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll tagged as not-a-virus:AdWare.Win32.Mostofate.dt. No Action Taken.

File C:\WINDOWS\photos.zip infected by "Backdoor.Win32.IRCBot.aaq" Virus. Action Taken: File Renamed.

File C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll tagged as not-a-virus:AdWare.Win32.Mostofate.dt. No Action Taken.

 

 

Merci d'avance pour le temps passé à résoudre mon problème.