[Résolu] Bagle sur Seven 64 bits

[Apollo]

Comme ceci:

 

[cecileux]

On fait toutes les sauvegardes nécessaires (c'est long... !) et on essaie la suite ! (grossbaf est supprimé)

[cecileux]

Alors... Dr Web ne fonctionne pas en mode sans échec et le scan rapide en mode normal ne détecte rien d'anormal ; on attend de voir le résultat de l'analyse complète...

Euh, petite question, vous finissez votre journée à quelle heure ?

[Apollo]

Quand j'ai sommeil

 

En général, je reste assez tard.

 

Je vais poser une question à un mien collègue car je n'ai pas encore reçu de réponse de l'expert; c'est que le gaillard travaille beaucoup...

 

@+tard.

[cecileux]

Bon alors moitié d'analyse et deux infections ,essai de désinfection non réussi donc mise en quarantaine. Statut dans Dr Web :Win32.HLLM.Beagle.496 on attend la suite....

To be continued

[Apollo]

Aaaah, voilà le coupable: Bagle, c'est moins grave que Virut mais sur 64 bits, ça reste un peu épineux à traiter.

 

On verra bien après le passage de CureIt mais il faudra sûrement réparer la connexion car cette sale bête change des choses dans le registre.

 

On pourra également essayer en installant une version d'évaluation d'un mois de Kaspersky AV 2010 si besoin était.

 

Dire que sur un 32, ce serait déjà terminé...

 

Crack ou clé usb infectée, Bagle peut provenir d'une de ces deux sources.

Il faudra donc faire très attention avant d'insérer ta clé sur ton pc à toi et si tu as Avast, il vaudrait mieux le changer pour Antivir.

 

On en reparlera.

 

@+tard

Modifié le 14 janvier 2010 par Apollo

[cecileux]

J'ai vu ça en m'inscrivant sur le forum... Je vais donc profiter du temps de l'analyse pour remplacer mon vieux Avast par Antivir !

[cecileux]

Voilà le rapport de l'analyse complète :

 

data.oct;C:\Documents and Settings\aurelien\AppData\Roaming\m;Win32.HLLM.Beagle.496;Irréparable.Quarantaine.;

data.oct;C:\Documents and Settings\aurelien\DoctorWeb\Quarantine;Win32.HLLM.Beagle.496;Irréparable.Quarantaine.;

 

 

après deux longues heures et 48 minutes d'analyse !

[Apollo]

Re,

 

Ne remplace pas l'antivirus tant que Bagle n'est pas liquidé sinon il va le manger tout cru

 

Ouaip Avast est malheureusement devenu une vraie passoire; heureusement il y en a de plus performants tout aussi gratuits et en français.

 

J'ai discuté un peu avec un spécialiste qui connait bien Bagle et aussi les systèmes; il pourrait intervenir dans le sujet s'il voit quelque-chose d'intéressant ou nouveau. (Bagle évolue lui aussi )

 

On va faire un test sans danger, le tool vient d'être essayé sur un 64 bits et il a fonctionné sans problème dans sa partie recherche; on décidera de la suite à apporter.

 

Télécharge FindyKill de El Desaparecido sur ton bureau :

 

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe

 

! Déconnecte toi et ferme toutes applications en cours !

 

Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

 

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

 

Fais un clic droit sur le raccourci FindyKill présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

 

Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

 

Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

 

Laisse travailler l'outil et ne touche à rien ...

 

--> Poste le rapport qui apparait à la fin , sur le forum ...

 

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

 

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

 

@++

Modifié le 14 janvier 2010 par Apollo

[cecileux]

Voilà le rapport : (il y a même les indications sur le pc des fois qu'il t'intéresse ! Mais bon, s'il marche, on le garde... )

 

############################## | FindyKill V5.024 |

 

# User : aurelien (Administrateurs) # AURELIEN-PC

# Update on 09/01/2010 by El Desaparecido

# Start at: 19:43:27 | 15/01/2010

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Contact : FindyKill.Contact@gmail.com

 

# Intel® Core2 Duo CPU T6600 @ 2.20GHz

# Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #

# Internet Explorer 8.0.7600.16385

# Windows Firewall Status : Enabled

 

# C:\ # Disque fixe local # 580,85 Go (519,12 Go free) [ACER] # NTFS

# D:\ # Disque CD-ROM

# F:\ # Disque amovible # 3,73 Go (3,7 Go free) [§AURELIEN§] # FAT32

 

############################## | Processus actifs |

 

C:\Program Files (x86)\Acer\Registration\GregHSRW.exe

c:\Program Files (x86)\Acer Bio Protection\CompPtcVUI.exe

c:\Program Files (x86)\Acer Bio Protection\BASVC.exe

C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe

C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe

C:\Program Files (x86)\Acer\Acer VCM\RS_Service.exe

C:\Program Files\Acer\Acer Updater\UpdaterService.exe

C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe

C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe

C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe

C:\Windows\PLFSetI.exe

C:\Program Files (x86)\RocketDock\RocketDock.exe

C:\Users\aurelien\AppData\Roaming\drivers\winupgro.exe

C:\Program Files (x86)\Acer\Acer VCM\AcerVCM.exe

C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe

C:\Program Files (x86)\Acer Bio Protection\PdtWzd.exe

C:\Program Files (x86)\Launch Manager\LManager.exe

C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe

C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe

 

############################## | Processus infectieux stoppés |

 

"C:\Users\aurelien\AppData\Roaming\drivers\winupgro.exe" (2912)

 

################## | C: |

 

 

################## | C:\Windows |

 

 

################## | C:\Windows\Prefetch |

 

Présent ! C:\Windows\Prefetch\92882.EXE-1E468678.pf

Présent ! C:\Windows\Prefetch\FLEC006.EXE-DBDFF141.pf

Présent ! C:\Windows\Prefetch\INSTALL_CRACK.EXE-D5F66167.pf

 

################## | C:\Windows\system32 |

 

Présent ! C:\Windows\system32\srosa2.sys

Présent ! C:\Windows\system32\wfsintwq.sys

Présent ! C:\Windows\SysWOW64\srosa2.sys

Présent ! C:\Windows\SysWOW64\wfsintwq.sys

 

################## | C:\Windows\system32\drivers |

 

 

################## | C:\Users\aurelien\AppData\Roaming |

 

Présent ! C:\Users\aurelien\AppData\Roaming\drivers

Présent ! C:\Users\aurelien\AppData\Roaming\drivers\downld

Présent ! C:\Users\aurelien\AppData\Roaming\drivers\winupgro.exe

Présent ! C:\Users\aurelien\AppData\Roaming\m

Présent ! C:\Users\aurelien\AppData\Roaming\m\list.oct

Présent ! C:\Users\aurelien\AppData\Roaming\m\srvlist.oct

Présent ! C:\Users\aurelien\AppData\Roaming\m\shared

 

################## | Temporary Internet Files |

 

 

################## | Registre |

 

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]

Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]

Présent ! [HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]

Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]

Présent ! [HKLM\SYSTEM\ControlSet002\Services\srosa]

Présent ! [HKCU\Software\bisoft]

Présent ! [HKCU\Software\MuleAppData]

Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"

Présent ! [HKU\S-1-5-21-3701139167-3380558309-1957228634-1001\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"

Présent ! [HKU\S-1-5-21-3701139167-3380558309-1957228634-1001\Software\bisoft]

Présent ! [HKU\S-1-5-21-3701139167-3380558309-1957228634-1001\Software\MuleAppData]

Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

Présent ! [HKU\S-1-5-21-3701139167-3380558309-1957228634-1001\Software\Local AppWizard-Generated Applications\winupgro]

 

################## | Etat |

 

# Affichage des fichiers cachés : OK

 

# Mode sans echec : OK

 

# (!) Uac = 0x0

 

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )

# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )

# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )

# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )

# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )

# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

 

 

################## | Cracks > Keygens > Serials |

 

 

################## | ! Fin du rapport # FindyKill V5.024 ! |