Resolu virus bagle

[WawaSeb]

Bonsoir doudirte,

 

*** Le nettoyage a avancé, bien joué ! ***

 

 

C:\Program Files\DAEMON Tools Toolbar

--> Avais-tu bien placé cet élément infectieux dans le fichier texte ?

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-28 au 2008-10-28 ))))))))))))))))))))))))))))))))))))

2008-10-27 17:15 . 2008-10-27 17:21 <REP> d-------- C:\WINDOWS\avxoscan

--> As-tu lancé une analyse supplémentaire sans m'en parler ?

 

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{286bf4e5-5734-11dd-9c45-001e8c9ad41d}]

--> Avais-tu bien branché tes supports amovibles avant de lancer le script ?

 

 

Nombre de virus trouvés: 0

Nombre d'objets infectés: 0 / 0

Nombre d'objets suspects: 0

--> Ta machine est presque propre...

--> Si tu prends des initiatives, je vais avoir beaucoup de mal à te guider jusqu'à la fin du nettoyage !

 

 

après une grande jounée de solitude et beaucoup d'effort, quelqu'un pourrait il m' analyser ce rapport.

--> Que signifiait exactement cette phrase ?

--> Sommes-nous trop lent à répondre pour un service gratuit ?

 

 

Je te demande de répondre franchement à mes questions et de ne pas (ou plus) brancher de support USB / avoir de comportement à risque / prendre des initiatives avant que la machine ne soit complètement nettoyée !

 

Bonne soirée...

[doudirte]

pour ta 1ere question,C:\Program Files\DAEMON Tools Toolbar normalement c'est oui car c'etait un copié collé.

j'ai effectivement fait HijackThis v2.0.2

ensuite, sur cette machine je n'ai pas de supports amovibles

et enfin, je comprend bien ne pas etre le seul a avoir des problèmes, mais sans aide devant ces problèmes, je me sentais bien

seul.encore merci pour ton aide.

[WawaSeb]

Bonsoir doudirte !

 

*** Merci d'avoir répondu à la plupart des questions... ***

--> Désolé pour le temps d'attente, j'ai énormément de travail ces jours-ci !

 

 

1) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes :

• Désinstalle (si présent) DAEMON Tools Toolbar
  

 

2) Supprime le dossier et les fichiers suivants (si encore présents) :

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

• C:\Program Files\DAEMON Tools Toolbar <-- le dossier
  
• K:\nideiect.com <-- le fichier
  
• K:\autorun.exe <-- le fichier
  

 

3) Sauvegarde ton registre avec ERUNT

• Télécharge et installe donc le programme
  
• Clique sur Erunt.exe pour enregistrer le registre dans le dossier de ton choix
  

Note : Pour restaurer le registre en cas de nécessité, rends-toi dans ce dossier et clique sur ERDNT.exe

 

Lance le bloc-note (Démarrer > Tous les programmes > Accessoires), copie-colles-y tout le texte en citation ci-dessous en incluant bien REGEDIT4, mais sans laisser de ligne vierge avant REGEDIT4

 

* Sauve-le sur ton bureau

* Enregistre-le sous : Fix.reg

* Dans type de fichier, tu dois avoir "tous les fichiers"

* Clique sur Enregistrer

----> L'icône de ce fichier doit ressembler à ça :

 

REGEDIT4

 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{286bf4e5-5734-11dd-9c45-001e8c9ad41d}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4a940108-7c1c-11dd-9c66-001e8c9ad41d}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{695127c8-7fdf-11dd-9c6b-001e8c9ad41d}]

* Double-clique ensuite sur Fix.reg pour l'exécuter et accepte les modifications du registre !

 

 

# Rencontres-tu encore des problèmes avec ta machine ?

# Si oui, lesquels ?

 

 

Bonne soirée !

[doudirte]

merci de ton aide.

petite question:

sur c:,j'ai aussi daemon tools lite et

daemon tools pro

dois je les supprimer avant de faire fix.reg ?

@+++

[WawaSeb]

Bonjour doudirte,

 

*** Tu poses des questions, et c'est super ! ***

 

j'ai aussi daemon tools lite et

daemon tools pro

--> D'une manière générale, il convient d'éviter plusieurs versions différentes d'un même programme sur un système.

--> Daemon Tools installe en plus un pilote (driver) et je n'aime personnellement pas cet outil !

 

 

dois je les supprimer avant de faire fix.reg ?

--> Il n'y a absolument aucun rapport entre le "regfix" et tes logiciels "Daemon Tools"...

--> Je t'ai fait supprimer la barre d'outil parce qu'elle est connue comme étant infectieuse. Regarde là ou mieux encore ici !

 

--> D'ailleurs, souvent ces "toolbars" s'installent par d'autres logiciels via une case pré-cochée...

Plus d'infos dans cet excellent article de malekal_morte !

 

 

En espérant avoir bien pu répondre à tes questions...

[doudirte]

be écoute,c'est super. je viens de faire un scan avec kaspersky en ligne,

dis moi ce que en pense.en serait il finit de bagle ?

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Thursday, October 30, 2008 2:20:46 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky On-line Scanner version : 5.0.84.2

Dernière mise à jour de la base antivirus Kaspersky : 30/10/2008

Enregistrements dans la base antivirus Kaspersky : 1218966

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Poste de travail:

C:\

D:\

E:\

G:\

H:\

I:\

J:\

 

Statistiques de l'analyse:

Total d'objets analysés: 87415

Nombre de virus trouvés: 0

Nombre d'objets infectés: 0 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 00:47:54

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Utilisateur\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Ahead\Nero Home\bl.db L'objet est verrouillé ignoré

C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Ahead\Nero Home\is2.db L'objet est verrouillé ignoré

C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Utilisateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Utilisateur\Local Settings\Historique\History.IE5\MSHist012008103020081031\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Utilisateur\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Utilisateur\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\access_log L'objet est verrouillé ignoré

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error.log L'objet est verrouillé ignoré

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error_log L'objet est verrouillé ignoré

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\ssl_request_log L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{25D7C2B2-47CE-47F0-ACCB-5C7F973F157D}\RP124\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

 

Analyse terminée.

 

encore merci pour ton temps passé.

[WawaSeb]

Bonjour doudirte,

 

*** Nous voilà arrivés au terme de cette procédure et je te félicite ! ***

 

dis moi ce que en pense.en serait il finit de bagle ?

--> Oui, ton PC est propre !

 

 

1) Clique sur Démarrer, puis sur Exécuter

• Tape combofix /u et appuie sur Entrée <-- Attention, l'espace entre le "x" et le "/" est important
  
  

 

2) Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir...

 

• Télécharge la dernière version de Java Runtime Environment (JRE) 6 update 10 .
  
• Descends sur la page jusqu'à "Java SE Runtime Environment (JRE) 6 Update 10, The Java SE Runtime Environment (JRE) allows end-users to run Java applications".
  
• Clique alors sur "Download"
  
• Arrivé sur cette page-ci, remplis les champs comme indiqué sur l'image et clique sur "Continue"
  
  
• Coche la case et accepte la license
  
• La page se recharge
  
• Coche la case Windows Offline Installation et clique sur jre-6u10-windows-i586-p.exe
  
• Ferme tous tes programmes (surtout les navigateurs Internet)
  
• Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA
  
• Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)".
  
• Clique sur le bouton "modifier / supprimer"
  
• Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA
  
• Redémarre ta machine
  
• Après le reboot, clique sur jre-6u10-windows-i586-p.exe pour installer la nouvelle version... suis les instructions à l'écran
  

 

3) Je ne vois aucun antivirus installé sur ta machine ; à notre époque, cela devient carrément suicidaire :

---> AntiVir ou Avg sont de bons antivirus gratuits !

 

 

*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-

 

Je suis ravi d'avoir pu t'aider...

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

 

4) Voici une liste de recommandations personnelles pour éviter de te faire infecter :

1. Garde une version de Windows légale et à jour
   
2. Utilise un compte limité pour surfer : voir cette page (merci JoK) ou Microsoft !
   
3. Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections)
   
4. Evite les sites douteux, illégaux, pornographiques, ...
   
5. Méfie-toi des programmes gratuits (financés par...)
   
6. Fuis le Peer To Peer (Kazaa, Bearshare, ...)
   
7. Garde un Antivirus à jour !
   
8. Ne clique jamais sur des liens non annoncés dans une messagerie instantannée
   
9. N'ouvre jamais de pièce jointe non prévue dans un mail !
   

 

5) Tu peux dénoncer ton infection :

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

********************************************************************************

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

Ton infection principale : Bagle

 

Plus d'info sur le topic d'Ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

6) Tu peux également éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets)

 

#

Ouvre ton premier po

s

t

#

Clique

s

ur le bouton

Editer

--->

Edition compl

è

te

#

Ajoute [R

é

s

olu] au titre de ton

s

ujet

 

En espérant de tout coeur que tu ne te feras plus infecter...