Bagle (Résolu)

[scheuch]

j'ai l'impression de passer pour un neuneu

je t'assure de bien respecter la procédure (d'ailleur je l'avais deja fait avant hier mais j'ai plus les logs), mais la pas moyen, du coup je viens meme d'essayer executer au lieu d'enregistrer sous, mais tjrs le meme message il ne me laisse pas l'executer avec ce nom... peut etre du a l'infection...je ne sais pas mais en tout cas je viens de relire trois fois la procédure, + essayer deux fois de dl le fichier deja renommé par angelique et tjr la meme chose, et je precise que g bien couper mon antivirus

[Apollo]

Mais non,

 

Tu dois vraiment avoir un problème avec l'exécution de l'outil, on s'étonne c'est tout car ça n'était encore jamais arrivé.

 

Je peux te faire utiliser un outil qui balayera cette infection et celles qui l'accompagnent mais l'analyse dure parfois très très longtemps selon le nombre de fichiers sur le pc ou la puissance de l'ordi.

 

De plus cette analyse se ferait en mode sans échec.

On n'en est pas là; si tu ne parviens finalement pas à l'exécuter, l'option CureIt sera toujours envisageable.

 

Elibagla, tu l'avais utilisé sous ce nom? Je veux dire qu'il n'avait pas été renommé?

[scheuch]

Alors pour Combo-Fix j'avais bien compris que cela semblait etre surprenant mais c bien le cas pourtant...

Pour Eliblagla je l'avais dl directement via un lien sur un forum, le fichier etait : (je l'ai encore) ELIBAGLA.AIBH

 

Concernant le mode sans echec : je le précise : je suis en mode sans echec

mais en mode sans echec AVEC PRISE EN CHARGE RESEAU.

Cependant j'imagine qu'il vaut mieux ne pas etre connecter pour eradiquer un virus...

 

Sinon je prends toutes les solutions qui peuvent etre apporté (formatage ce serait vraiment en dernier recours par contre) je me bats contre ce merdier depuis mardi et je ne sais plus que faire, c'est une vraie plaie, et par moment g cru l'avoir eu et au final ct de nouveau la...

 

C'est quoi CureIt ???<<--excuse c la fatigue lol

Modifié le 21 août 2008 par scheuch

[Apollo]

Vire-le (Elibagla)

 

Reconnecte-toi et refais l'essai avec ComboFix.

 

Si ça ne marche pas on refait Elimachin mais d'une autre manière.

 

EDIT: Cure-It est un antivirus sans installation.

 

AVP Tool est le désinfecteur de Kasperky mais je l'ai dit, s'il nettoie tout il est lent et lui lance des processus, donc il doit être utilisé obligatoirement en mode sans échec.

 

Formater, pas question, je suppose que tu préférerais un long scan qu'une réinstall complète. Non?

Modifié le 21 août 2008 par Apollo.01

[scheuch]

J'ai vire elbagla, je me suis reconnecté (sorti du mode sans echec et demarré en mode normal)

j'ai reessaye avec combofix telechargé sous le nom Combo-Fix.exe : toujours le meme message...

Pour le formatage c clair que je prefere un long scan

[Apollo]

Ok moi je veux bien.

 

Mais on va refaire un essai avec Elibagla mais suivant cette procédure et s'il résiste encore on utilisera l'artillerie lourde.

 

Tu dois renommer ELIBAGLA avant de l'enregistrer, càd dans la fenêtre dont je vais te montrer une capture pour être bien clair.

 

Télécharge ELIBAGLA

 

Va en bas de la page et clique sur :Descargar ELIBAGLA.

 

Avant d'enregistrer le téléchargement, renommer ELIBAGLA en ELI-BAGLA.exe

 

Dans le menu déroulant, vérifier:

-Que C est bien présent. (lettre système)

-L'option "Eliminar ficheros automaticamente" est cochée

 

• Lance Elibagla (renommé).
  
• Clique sur explorar
  
• A la fin du scan redémarre le pc.
  
• Tu trouveras le rapport dans C:\infoSat.txt
  
• Copie/colle le contenu dans la réponse.
  

 

 

 

Poste ce rapport ainsi qu'un nouveau log Hijackthis après le redémarrage du pc.

 

@+ tard.

[scheuch]

Le log d'elibagle (rien a signaler)

 

 

Thu Aug 21 21:39:05 2008

EliBagle v11.66 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Thu Aug 21 21:39:11 2008

EliBagle v11.66 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 3825

Nº Total de Ficheros: 38351

Nº de Ficheros Analizados: 9848

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

 

Le log d'Hijackthis (que je n'ai bizarrement plus besoin de renommer apres telechargement...)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:47:13, on 21/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\netdde.exe

C:\Program Files\Hercules\WiFi Station\WifiStation.exe

C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe

c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Program Files\McAfee\MPF\MPFSrv.exe

C:\Program Files\McAfee\MSK\MskSrver.exe

C:\Program Files\SiteAdvisor\6172\SAService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Mireille\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User 'Default user')

O4 - Global Startup: WiFi Station.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252

O17 - HKLM\System\CS1\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252

O17 - HKLM\System\CS2\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252

O17 - HKLM\System\CS3\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252

O23 - Service: McAfee Application Installer Cleanup (0133851219329434) (0133851219329434mcinstcleanup) - Unknown owner - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\013385~1.EXE (file missing)

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan\McShield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe

O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe

O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6172\SAService.exe

 

--

End of file - 4085 bytes

 

 

Hmm ce que je comprends pas c que mc afee etant pas lancer, je le vois apparaitre en processus...

Modifié le 21 août 2008 par scheuch

[Apollo]

attends regarde le nombre de fichiers analysés, ce n'est pas complet ça et ça me semblait bien rapide comme scan...

 

Je regarde ton log.

[Apollo]

Relance ton antivirus il est inactif et refais un log Hijackthis après.

 

Il serait tout bonnement incroyable que Bagle ait disparu.

Pendant le scan de CureIt, est-ce que des fichiers ont été traités?

[scheuch]

"effacé comme le post qui en parlait"

 

 

sinon ben ca analyse encore mais il a deja repere un win32.hllm.beagle.224

donc c bien toujour le bagle... (fichier winbutler.exe)

 

Dis moi au fait qd l'analyse sera fini je dois redemarrer en mode normal ou revenir en mode sans echec?

 

celui la avait ete effacé je crois et un autre truc avait ete repere qui avait ete mis en quarantaine

 

Pas moyen de relancer l'antivirus! il ne s'ouvre meme plus : la fenetre du mcafee security center s'ouvre puis disparait...

Modifié le 21 août 2008 par scheuch