Virus Bagle

[IceQube]

Bonjour,

Elle vous avait échappé ?

 

Non non je l'avais bien vu mais il ne s'agit pas de la même solution au problème. J'avais essayer de faire ce qui était dit dans le lien que vous m'aviez donné mais ça ne fonctionnait toujours pas.

Dans cas il parle de modifier une clé dans la base de registre (clé modifié par Bagle et qui empêche d'activer la connexion au wifi).

 

Par contre avez vous une petite procédure de "nettoyage final" après une infection car l'ordinateur "rame" encore pas mal. J'ai déjà essayé CCleaner.

 

Merci encore.

[pear]

Bonjour,

 

Ces 2 services doivent pouvoir être démarrés:ndisuio,wscsvc

et il faut que RpcSs soit automatique.

 

Les 2 procédures le font.

 

Mais c'est désormais sans importance, n'est ce pas?

 

avez vous une petite procédure de "nettoyage final" après une infection car l'ordinateur "rame" encore pas mal

 

 

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner! de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

L'outil supprimera sans que vous ayez à intervenir.

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Ensuite:

 

Suivez cette procédure d'aussi près que possible:

1)Alléger le démarrage:

Il faut savoir que RIEN , dans Msconfig(clés 04 dans Hijackthis),n'est nécessaire au système.

Beaucoup de programmes y installent un raccourci pour qu'ils soient lancés dès le démarrage du système,

avec pour conséquence la lenteur ou le ralentissement du Démarrage.

C'est seulement par prudence,pour éviter des oublis dommageables,que l'on recommande de garder les protections qui y sont(Parefeu,1 antivirus, 1 antispyware)

et parfois la connexion.

Tout le reste sera lancé en cas de besoin.

Bien sûr,pour des raisons de confort personnel,on peut négliger ces recommandations.

Pour corriger cela:

soit dans hijackthis,cocher les lignes o4 à supprimer, puis fixchecked

ou Par Démarrer->Exécuter->Msconfig->Démarrage

ou,mieux Spybot->Outils->Démarrages ou jv16(Outils registre->Liste de démarrage)

il suffit de décocher pour

Supprimer TOUT ,sauf Parefeu,Antivirus,Connexion Internet,Résidents antimalwares(TeaTimer par exemple)

Il suffira de recocher en cas d'erreur ou de regret.

Ne garder qu'une seule toolbar

Pour supprimer Ctfmon: Panneau de configuration->Options Régionales et linguistiques->Désactiver Langues d'Extrême Orient

 

2)Optimiser les services en désactivant ceux qui sont inutiles ou dangereux.

Pour cela,suivez ce lien:http://speedweb1.free.fr/frames2.php?page=service4

 

 

***Acquisition d'image Windows (WIA)(Ceci n'est pas toujours nécessaire)

Arrêtez le service WIA.

Cliquez avec le bouton droit sur Acquisition d'image Windows (WIA)-> Arrêter.

Mettez le en Manuel

 

***Le service Nvidia Display driver est inutile:arrêtez le et mettez le en Désactivé.

 

 

3)Nettoyer Xp:Vider les fichiers temporaires(Ccleaner), supprimer les fichiers inutiles(EasyCleaner, sauf doublons, danger),les clés obsolètes(Jv16)

 

4)Défragmenter:Jkdefrag,PowerDefrag, AuslogicDefrag(gratuits et efficaces)

 

 

5)Désactiver l'indexation des fichiers

 

Poste de travail->clic droit sur chacune des partitions de disque dur.

Allez dans les propriétés et désactivez Autoriser l'indexation de ce disque

Cliquez sur Appliquer puis sur OK.

Une nouvelle fenêtre s’ouvrira et vous devrez sélectionner Appliquer à tous les sous-dossiers et fichiers.

 

6)Poste de travail->propriétés->Avancés->Démarrage et récupération->paramètres->Afficher la liste des systèmes

 

Mettez 5 si vous avez un multiboot et 0 si vous n'avez qu'un seul Système

 

7)Utilisez Zeb-Utility pour optimiser et personnaliser votre Pc:

http://telechargement.zebulon.fr/zeb-utility.html

Ou utilisez ce qui suit,

copiez-collez dans le bloc notes, enregistrez sous un nom quelconque avec extension.reg puis fusionner(clic droit)

Pas de ligne blanche au début de votre fichier !

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\Copy To]

@="{C2FBB630-2971-11D1-A18C-00C04FD75D13}"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\Move To]

@="{C2FBB631-2971-11D1-A18C-00C04FD75D13}"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\Send To]

@="{7BA4C740-9E81-11CF-99D3-00AA004AE837}"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Nt\CurrentVersion\Winlogon]

"PowerdownAfterShutdown"="1"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}]

@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]

"AlwaysUnloadDLL"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoCDBurning"=dword:00000001

"NoSMConfigurePrograms"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies]

"NoChooseProgramsPage"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]

"NoChooseProgramsPage"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Dfrg\BootOptimizeFunction]

"Enable"="Y"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\OptimalLayout]

"EnableAutoLayout"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc]

"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\System\CurrentControlset\Control\FileSystem]

"NtfsDisableLastAccessUpdate"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]

"EnablePrefetcher"=dword:00000002

[HKEY_LOCAL_MACHINE\System\CurrentControlset\Control\Session Manager\Memory Management]

"DisablePagingExecutive"=dword:00000001

"LargeSystemCache"=dword:00000001

[HKEY_LOCAL_MACHINE\System\CurrentControlset\Control]

"WaitToKillServiceTimeout"="10000"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]

"DesktopProcess"=dword:1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

"NoChooseProgramsPage"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]

"NoChooseProgramsPage"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoSMConfigurePrograms"=dword:00000001

[HKEY_CURRENT_USER\Control Panel\Desktop]

"MenuShowDelay"="0"

"AutoEndTask"="1"

"WaitToKillAppTimeout"="1000"

"HungAppTimeout"="1000"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoActiveDesktop"=dword:00000001

"NoDispBackgroundPage"=dword:00000000

"NoSaveSettings"=dword:00000000

[HKEY_USERS\.DEFAULT\Control Panel\Desktop]

"WaitToKillAppTimeout"="1000"

"HungAppTimeout"="1000"

 

8)Il se pourrait que Windows reconnaisse l'IDE principal en mode PIO au lieu Ultra DMA suite à plusieurs erreurs disque.

 

Faites ceci:

Poste de travail->votre disque ->Propriétés->Outils ->Vérifier maintenant

 

Ensuite,faites une sauvegarde par sécurité, puis:

 

Poste de Travail->Propriétés->Matériel->Gestionnaire de Périphériques->

Controleur ATAPI/IDE->Controleur Ide Principal->Propriétés->Paramètres avancés

Si le mode de transfert actif est Pio au lieu de Udma , clic sur onglet Pilotes->Désinstaller

Redémarrer ensuite votre machine.

[IceQube]

Bonjour,

 

J'ai effectué toutes les manipulations que vous m'avez indiqué, merci.

 

Cependant il semble que Bagle soit toujours sur l'ordinateur car il rame vraiment. Heureusement Antivir le détecte à chaque fois et bien que je lui dise de "supprimer Bagle", Antivir resignale sa présence de temps en temps.

 

Je suis désolé de vous ennuyer encore avec mon problème persistant.

 

Merci

[pear]

Bonjour,

 

Je suis désolé de vous ennuyer encore avec mon problème persistant.

mais non, je suis là pour ça

 

Antivir ne peut pas supprimer bagle, mais indiquer où il est.

 

Postez en le rapport,svp.

[IceQube]

Bonjour,

Postez en le rapport,svp.

 

Voila le rapport d'Antivir :

 

 

 

Avira AntiVir Personal

Report file date: 2008-06-20 14:31

 

Scanning for 1349498 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Boot mode: Normally booted

Username: SYSTEM

Computer name: MUMU

 

Version information:

BUILD.DAT : 8.1.0.308 16478 Bytes 2008-05-28 17:03:00

AVSCAN.EXE : 8.1.2.12 311553 Bytes 2008-03-18 09:02:56

AVSCAN.DLL : 8.1.1.0 53505 Bytes 2008-02-07 08:43:37

LUKE.DLL : 8.1.2.9 151809 Bytes 2008-02-28 08:41:23

LUKERES.DLL : 8.1.2.1 12033 Bytes 2008-02-21 08:28:40

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 10:33:34

ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 2008-03-07 13:08:58

ANTIVIR2.VDF : 7.0.4.195 2546176 Bytes 2008-06-14 02:43:29

ANTIVIR3.VDF : 7.0.4.231 248832 Bytes 2008-06-20 11:58:23

Engineversion : 8.1.0.59

AEVDF.DLL : 8.1.0.5 102772 Bytes 2008-02-25 09:58:21

AESCRIPT.DLL : 8.1.0.44 278907 Bytes 2008-06-20 11:59:18

AESCN.DLL : 8.1.0.22 119157 Bytes 2008-06-20 11:59:10

AERDL.DLL : 8.1.0.20 418165 Bytes 2008-06-19 02:44:55

AEPACK.DLL : 8.1.1.6 364918 Bytes 2008-06-20 11:59:06

AEOFFICE.DLL : 8.1.0.20 192891 Bytes 2008-06-20 11:58:59

AEHEUR.DLL : 8.1.0.32 1274231 Bytes 2008-06-20 11:58:55

AEHELP.DLL : 8.1.0.15 115063 Bytes 2008-06-19 02:43:59

AEGEN.DLL : 8.1.0.29 307573 Bytes 2008-06-20 11:58:28

AEEMU.DLL : 8.1.0.6 430451 Bytes 2008-06-19 02:43:50

AECORE.DLL : 8.1.0.31 168310 Bytes 2008-06-19 02:43:43

AVWINLL.DLL : 1.0.0.7 14593 Bytes 2008-01-23 17:07:53

AVPREF.DLL : 8.0.0.1 25857 Bytes 2008-02-18 10:37:50

AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 13:26:47

AVREG.DLL : 8.0.0.0 30977 Bytes 2008-01-23 17:07:49

AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 08:29:23

AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 2008-02-28 08:31:31

SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 17:28:02

SMTPLIB.DLL : 1.2.0.19 28929 Bytes 2008-01-23 17:08:39

NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 12:05:10

RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 2008-03-10 14:37:25

RCTEXT.DLL : 8.0.32.0 86273 Bytes 2008-03-06 12:02:11

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: 2008-06-20 14:31

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'TPSBattM.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'CTCMSGo.exe' - '1' Module(s) have been scanned

Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned

Scan process 'DDWMon.exe' - '1' Module(s) have been scanned

Scan process 'ApntEx.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'ACU.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'TPSMain.exe' - '1' Module(s) have been scanned

Scan process 'agrsmmsg.exe' - '1' Module(s) have been scanned

Scan process 'ltmoh.exe' - '1' Module(s) have been scanned

Scan process 'Apoint.exe' - '1' Module(s) have been scanned

Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned

Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'TODDSrv.exe' - '1' Module(s) have been scanned

Scan process 'cvpnd.exe' - '1' Module(s) have been scanned

Scan process 'CTSVCCDA.EXE' - '1' Module(s) have been scanned

Scan process 'CFSvcs.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'acs.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

38 processes with 38 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '66' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\System Volume Information\_restore{DBC1A09E-2881-490F-BAF5-D5B982B90D07}\RP5\A0002309.exe

[DETECTION] Is the Trojan horse TR/Dldr.Bagle.SN

[NOTE] The file was moved to '488ba91d.qua'!

C:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

 

 

End of the scan: 2008-06-20 15:06

Used time: 35:04 min

 

The scan has been done completely.

 

5320 Scanning directories

299809 Files were scanned

1 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

1 files were moved to quarantine

0 files were renamed

3 Files cannot be scanned

299808 Files not concerned

6735 Archives were scanned

3 Warnings

1 Notes

[pear]

Ce n'est pas grave.

Comme je le pensais, le virus est dans votre restauration Système et inoffensif tant que vous ne la lancez pas.

Pour la nettoyer:

 

Désinstallez la Restauration Système.

 

Poste de Travail->Propriétés->Restauration Système.

Décocher la Restauration sur tous les lecteurs.

Vous la rétablirez ensuite.

Un nouveau point de restauration sera créé.

[IceQube]

Décocher la Restauration sur tous les lecteurs

 

Pour moi il est écrit: Désactiver la restauration du système.

 

Cette case n'est pas cocher, quand vous me dites "décocher" est ce pour dire de désactiver justement la restauration ou ai-je déjà la bonne configuration ?

 

Merci

[pear]

Vous avez raison.

Il faut lire:

 

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

[IceQube]

Vous avez raison.

Il faut lire:

 

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

 

Ok c'est fait, et que dois-je faire après ça ?

[pear]

que dois-je faire après ça

 

Vous réactivez la restauration système.