pc infecté par "bagle"

[tropdevirus]

Bonjour,

Je n'ai plus accès à mon ordinateur sauf en mode sans échec. Il semblerait que bagle soit à l'origine de ce désagrément. Il bloque avast et je ne peux plus rien faire.

J'ai essayé beaucoup de chose début juillet.

Je viens vers vous pour essayer de m'en sortir

Merci d'avance

[pear]

Bonjour,

 

 

Télécharger FindyKill sur le bureau

 

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Si, donc, vous avez une version antérieure, désinstallez la.

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Lancer l'installation avec les Paramètres par défaut

Exécuter en tant qu'administrateur

Sous Vista, Désactiver l'UAC

Pour désactiver l'UAC, ouvrez le panneau de configuration puis cliquez en haut à droite sur Comptes d'utilisateurs

Dans Comptes d'utilisateurs, cliquez sur la dernière option Activer ou désactiver le contrôle des comptes d'utilisateurs

Décochez l'option, Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système

Une popup s'ouvre alors pour vous demander de redémarrer l'ordinateur, cliquez alors sur Redémarrer maintenant

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire

Sur PCA,En Français

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Double cliquer sur le raccourci présent sur le bureau

Tapez : F et touche [Entrée] pour avoir le programme en français

Au menu principal,choisir l'option 1 (Recherche)

le rapport C:\FindyKill.txt sera généré.

[tropdevirus]

Bonjour pear,

 

Merci de me prendre en charge.

 

Le rapport de FindyKill :

 

 

############################## | FindyKill V5.045 |

 

# User : bruno (Administrateurs) # GUYON-SERVEUR

# Update on 23/06/2010 by El Desaparecido

# Start at: 12:29:14 | 09/08/2010

# Website : Bienvenue dans nos Pages Persos

# Contact : FindyKill.Contact@gmail.com

 

# AMD Athlon XP 2200+

# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2

# Internet Explorer 6.0.2900.2180

# Windows Firewall Status : Disabled

# AV : avast! Antivirus 5.0.83886674 [ Enabled | Updated ]

 

# A:\ # Lecteur de disquettes 3 ½ pouces

# C:\ # Disque fixe local # 39,06 Go (19,49 Go free) [logiciel] # NTFS

# D:\ # Disque CD-ROM

# E:\ # Disque CD-ROM

# F:\ # Disque fixe local # 75,98 Go (21,88 Go free) [document] # NTFS

# G:\ # Disque fixe local # 39,06 Go (6,44 Go free) [transfert] # NTFS

# H:\ # Disque fixe local # 58,59 Go (28,32 Go free) [attente] # NTFS

# I:\ # Disque fixe local # 308,59 Go (2,85 Go free) [multimédia] # NTFS

# J:\ # Disque fixe local # 59,51 Go (39,82 Go free) [WoW] # NTFS

# K:\ # Disque amovible # 983,72 Mo (295,75 Mo free) [uDISK 2.0] # FAT

# L:\ # Disque amovible # 243,73 Mo (80,22 Mo free) [sTORE'N'GO] # FAT

# M:\ # Disque amovible # 3,85 Go (1,4 Go free) [KINGSTON] # FAT32

 

################## | Eléments infectieux |

 

K:\autorun.inf

L:\autorun.inf

C:\Documents and Settings\nathalie\Application Data\drivers

C:\Documents and Settings\nathalie\Local Settings\Temporary Internet Files\Content.IE5\PHRABLME\mxd[1].jpg.XXX

 

################## | Registre |

 

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a]

[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_111111s1ro1s1a]

[HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_111111s1ro1s1a]

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]

[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]

[HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S]

[HKCU\Software\MuleAppData]

[HKCR\ed2k]

[HKCU\Software\Classes\ed2k]

[HKU\S-1-5-21-436374069-839522115-954134952-1003\Software\MuleAppData]

[HKCU\Software\Local AppWizard-Generated Applications\key_generator]

[HKCU\Software\Local AppWizard-Generated Applications\winupgro]

[HKU\S-1-5-21-436374069-839522115-954134952-1003\Software\Local AppWizard-Generated Applications\key_generator]

[HKU\S-1-5-21-436374069-839522115-954134952-1003\Software\Local AppWizard-Generated Applications\winupgro]

 

################## | Etat |

 

# Affichage des fichiers cachés : OK

 

# Mode sans echec : OK

 

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )

# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )

# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

 

################## | ! Fin du rapport # FindyKill V5.045 ! |

[pear]

Relancez Findykill

 

Ensuite le Nettoyage

 

Double cliquer sur le raccourci présent sur le bureau

Au menu principal,choisir l'option 2 (Suppression)

 

il y aura 2 redémarrages du PC

avec Suppression des fichiers découverts et des clés de régistre infectées

Restauration du Mode sans échec et de certaines valeurs du régistre

Réparation de l'affichage des fichiers cachés

Relance des services

 

Laissez travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"

Lisez attentivement le rapport C:\FindyKill.txt qui vous indiquera les logiciels à réparer

Ensuite postez le .

 

[ Option 4 ( Désinstal ) XP ]

• Double clic sur le raccourci FindyKill présent sur lebureau

• Au menu principal choisir l'option " F " pour français et taper sur [entrée] .

• Au second menu Choisir l'option " 4 " (Désinstaller) et taper sur [entrée]

 

[tropdevirus]

Re,

 

XP a démarré correctement j'ai accès à Internet sur une session utilisateur.

 

Le rapport de FindyKill :

 

 

############################## | FindyKill V5.045 |

 

# User : bruno (Administrateurs) # GUYON-SERVEUR

# Update on 23/06/2010 by El Desaparecido

# Start at: 14:29:19 | 09/08/2010

# Website : Bienvenue dans nos Pages Persos

# Contact : FindyKill.Contact@gmail.com

 

# AMD Athlon XP 2200+

# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2

# Internet Explorer 6.0.2900.2180

# Windows Firewall Status : Enabled

# AV : avast! Antivirus 5.0.83886674 [ Enabled | Updated ]

 

# A:\ # Lecteur de disquettes 3 ½ pouces

# C:\ # Disque fixe local # 39,06 Go (19,4 Go free) [logiciel] # NTFS

# D:\ # Disque CD-ROM

# E:\ # Disque CD-ROM

# F:\ # Disque fixe local # 75,98 Go (21,88 Go free) [document] # NTFS

# G:\ # Disque fixe local # 39,06 Go (6,44 Go free) [transfert] # NTFS

# H:\ # Disque fixe local # 58,59 Go (28,32 Go free) [attente] # NTFS

# I:\ # Disque fixe local # 308,59 Go (2,85 Go free) [multimédia] # NTFS

# J:\ # Disque fixe local # 59,51 Go (39,82 Go free) [WoW] # NTFS

# K:\ # Disque amovible # 983,72 Mo (295,75 Mo free) [uDISK 2.0] # FAT

# L:\ # Disque amovible # 243,73 Mo (80,22 Mo free) [sTORE'N'GO] # FAT

# M:\ # Disque amovible # 3,85 Go (1,4 Go free) [KINGSTON] # FAT32

 

################## | Eléments infectieux |

 

Supprimé ! K:\autorun.inf

Supprimé ! L:\autorun.inf

Supprimé ! C:\WINDOWS\prefetch\WINUPGRO.EXE-28701271.pf

Supprimé ! C:\Documents and Settings\nathalie\Application Data\drivers

Supprimé ! C:\Documents and Settings\nathalie\Local Settings\Temporary Internet Files\Content.IE5\PHRABLME\mxd[1].jpg.XXX

 

################## | MD5 ... |

 

 

################## | CRC32 ... |

 

J'attends les éventuelles manip restantes à faire.

 

Merci.

 

Edit :Avast n'a pas démarré

Modifié le 9 août 2010 par tropdevirus

[pear]

Vous allez télécharger Combofix.

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

La console de Récupération

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[tropdevirus]

Re,

 

 

1er souci, Avast est toujours présent dans la zone de notification malgré la désactivation dans msconfig ou par l'arrêt des processus en cliquant droit sur l'icône de la zone de notification.

Windows le considère toujours actif.

 

2eme souci, Combofix se lance (fenêtre avec barre de progression verte) mais rien de se passe.

 

Que dois-je faire ?

[tropdevirus]

Bonsoir pear,

 

Combofix a fini par s'exécuter, mais il a "planté".

Je n'ai plus accès à rien après redémarrage du PC :

Une fois le PC redémarré, le bureau semble normal, mais je n'ai plus accès au poste de travail et je ne peux arrêter la machine qu'en appuyant de façon prolongé sur le bouton de mise en marche. Je n'ai plus accès à Internet.

 

Que faire ?

 

Formatage ?

 

Récupération des fichiers de données avec un live CD Linux ?

 

J'attends vos conseils avec impatience.

 

je serai présent demain toute la journée devant la machine de secours.

 

Cordialement.

 

tropdevirus

[pear]

Bonjour,

 

Désolé pour cette réponse tardive.Il y avait une panne sur le site.

 

Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

Voir ici (en français): .

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

 

Si tout va bien, la machine démarrera sur l'environnement OTLPE

 

Double-click sur l'icone OTLPE

A la demande "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

vérifier que "Automatically Load All Remaining Users" est sélectionné et presser OK

 

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

 

sous Custom Scan/Fixes copier_coller le contenu ci dessous ,en vert :

netsvcs

%SYSTEMDRIVE%\*.exe

/md5start

explorer.exe

taskmgr.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

cdrom.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\*. /mp /s

CREATERESTOREPOINT

 

clic Run Scan .

le scan terminé , le fichier se trouve là C:\OTL.txt

 

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[tropdevirus]

Bonjour Pear

 

J'ai pu scanner mon disque avec OTL PE dont voici le lien :

 

© CJoint.com, 2008

 

Par contre, je n'ai pas pu l'envoyer à partir de la session ouverte avec le dvd de boot (la connexion internet ne fonctionnait pas)

 

Merci pour la continuité des opérations a envisager

 

cordialement

 

tropdevirus

 

edit: orthographe

Modifié le 11 août 2010 par tropdevirus