Bagle (Résolu)

[scheuch]

Bonjour,

j'appelle au secour car j'ai ete infecté par bagle, apres 3 jours de galere je ne sais plus que faire.

J'ai passé eliblagla, Hijack, kaspersky en ligne etc etc...

Pour exemple, pour lancer hijackthis j'ai du le renommer car il me disait que ce n'est pas une application win valide, quant à mcafee impossible de le faire fonctionner, la je viens de le reinstaller mais cela ne fonctionne pas.

Que puis je faire, quels element voulez vous que je vous donne.

ps je suis en mode sans echec avec prise en charge réseau (que j'ai pu reactiver grace a une combine trouvé sur un forum).

Merci d'avance

Ah oui au demarrage j'ai egalement un truc qui s'affiche : regrun partizan ... pas eu le temps de lire le reste... parait que ca se vire avec spybot mais ce dernier ne veut plus fonctionner

Modifié le 23 août 2008 par scheuch

[scheuch]

j'ai retelecharger hijackthis, enf ait peut etre que j'ai reussi la desinfection mais que je dois reinstaller proprement tout ce qui a ete desactivé...

car en retelechargeant un hijackthis il a fonction sans que j'en change le nom au telechargement...

je vous mets le rapport quand meme :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:04:28, on 21/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode with network support

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

c:\PROGRA~1\mcafee.com\agent\mcagent.exe

c:\PROGRA~1\mcafee\msc\mcuimgr.exe

c:\PROGRA~1\mcafee\msc\mcshell.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe

C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6172\SiteAdv.dll

O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6172\SiteAdv.dll

O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey

O4 - HKUS\S-1-5-21-1801674531-299502267-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Sylvain')

O4 - HKUS\S-1-5-21-1801674531-299502267-725345543-1003\..\Run: [WinButler] C:\Documents and Settings\Sylvain\Application Data\WinButler\WinButler.exe (User 'Sylvain')

O4 - HKUS\S-1-5-21-1801674531-299502267-725345543-1003\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe (User 'Sylvain')

O4 - HKUS\S-1-5-21-1801674531-299502267-725345543-1003\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe (User 'Sylvain')

O4 - HKUS\S-1-5-21-1801674531-299502267-725345543-1003\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" (User 'Sylvain')

O4 - HKUS\S-1-5-21-1801674531-299502267-725345543-1003\..\Run: [Chicdead] C:\DOCUME~1\Sylvain\APPLIC~1\DUPEOB~1\jump list.exe (User 'Sylvain')

O4 - HKUS\S-1-5-21-1801674531-299502267-725345543-1003\..\Run: [17748990769467752435731831008235] C:\Program Files\Antivirus 2009\av2009.exe (User 'Sylvain')

O4 - HKUS\S-1-5-21-1801674531-299502267-725345543-1003\..\Run: [Antivirus] C:\Program Files\VAV\vav.exe (User 'Sylvain')

O4 - HKUS\S-1-5-21-1801674531-299502267-725345543-1003\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User 'Sylvain')

O4 - HKUS\S-1-5-21-1801674531-299502267-725345543-1003\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User 'Sylvain')

O4 - Global Startup: WiFi Station.lnk = ?

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252

O17 - HKLM\System\CS1\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252

O17 - HKLM\System\CS2\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252

O17 - HKLM\System\CS3\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252

O23 - Service: McAfee Application Installer Cleanup (0133851219329434) (0133851219329434mcinstcleanup) - McAfee, Inc. - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\013385~1.EXE

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan\McShield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe

O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe

O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6172\SAService.exe

 

--

End of file - 5459 bytes

[Apollo]

Bonjour,

 

Comment as-tu utilisé Elibagla? tu l'as téléchargé et utilisé tel qu'il est proposé sur le site espagnol?

 

Si c'est le cas, c'est inefficace car il est toujours présent, ou du moins fortement suspecté.

 

J'attends ta réponse concernant cet outil de désinfection pour voir les mesures à prendre.

 

Dis-moi aussi si tu accèdes au mode sans échec.

 

@+

Modifié le 21 août 2008 par Apollo.01

[scheuch]

Bonjour,

 

Comment as-tu utilisé Elibagla? tu l'as téléchargé et utilisé tel qu'il est proposé sur le site espagnol?

 

Si c'est le cas, c'est inefficace car il est toujours présent, ou du moins fortement suspecté.

 

J'attends ta réponse concernant cet outil de désinfection pour voir les mesures à prendre.

 

@+

 

Je ne me souviens plus comment je l'ai telechargé, je l'avais trouvé via un lien sur un forum, cependant il m'a semble etre d'une efficacité limité.

Je sais qu'il avait detecté les fichier hldrr et mdelk.

La j'ai reussi a remettre mcafee et lancer une analyse.Mais j'arrive pas a le configurer, et en cliquant sur corriger il me dit impossible de corriger un ou plusieur de vos probleme en raison d'une erreur (avant ct certains probleme necessitent une reponse de votre part ou qqc du style)

Modifié le 21 août 2008 par scheuch

[Apollo]

Tu ne m'a pas répondu entièrement: as-tu accès au mode sans échec?

[scheuch]

Tu ne m'a pas répondu entièrement: as-tu accès au mode sans échec?

excuse je viens de reediter mon post j'avais cru que comme moi tu cherchais de l'aide.

Donc oui je suis d'ailleurs en mode sans echec avec prise en charge reseau.

J'avais trouvé, egalement sur un forum un fichier a dl pour retablir le mode sans echec

[Apollo]

Ok,

 

Télécharge Dr.Web CureIt sur ton Bureau:

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

• ou

http://www.freedrweb.com/cureit/
Double clique drweb-cureit.exe et ensuite clique sur Analyse;
Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction"; vous pouvez quitter en cliquant le "X"
Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
De retour à la fenêtre principale : clique pour activer "Analyse complète";
Clique le bouton avec flèche verte sur la droite, et le scan débutera.
Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés :
Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
Ferme Dr.Web Cureit
Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

@++

[scheuch]

ok je fais ca je te reponds des que c fait

[scheuch]

argg ca fait deux fois que ie plante en essayant de dl drweb rnfin il rame et je peux plus naviguer en meme tps...

Modifié le 21 août 2008 par scheuch

[scheuch]

ah c bon je l'ai je fais la manip now