Virus win32.Bagle.SUQ@mm [RESOLU !!!] • page 2

[r@in | b0w]

Merci, maintenant je peut le dire

Je n'ai rien fait. Ta persévérance a payé. Faut dire que ce bagle est pas mal avec ses différentes versions!
L'histoire du F8+F10 peut être à noter, beaucoup n'arrivent pas à démarrer le mode sans échec quand un virus est présent.

En bref, un bon démarrage en mode sans échec, Elibagla pour Bagle et Ccleaner pour la clé de registre, c'est ça? Avec bien entendu, le nettoyage du pc (fichiers temporaires, poubelle, prefetch et restauration - à remettre après la désinfection!).

Bonne continuation à toi!

Ps: merci pour le [Résolu] dans le titre!

Ps2: attention encore et toujours au virus Pebkac!

[Fab62]

Pour la clé de registre : " Afficher les dossiers windows " clique droit dessus supprimer, tout simplement.

Démarrage en mode sans échec pour supprimer mdelk.exe

Pour le virus, je sais comment je l'es choper, je cherchait JBuilder personnal 5 qui en principe est gratuit, mais a voir n'est plus disponible, j'ai finit par le trouver mais au lieu d'avoir JBuilder j'ai eu Bagle.

A bon entendeur.


Enfin un avantage dans cette histoire, je sais mieux me servir d'un Antivirus

[r@in | b0w]

Enfin un avantage dans cette histoire, je sais mieux me servir d'un Antivirus

Mieux vaut tard que jamais

Ps: tuto sur BitDefender2008 prochainement si ça t'intéresse

[Fab62]

Ps: tuto sur BitDefender2008 prochainement si ça t'intéresse

Pas de soucis

[Fab62]

Bonjour,

J'avait effectué mes scans suite à l'infection de Bagle, sauf un avec Spybot, que je viens de faire :

Spybot me detecte 214 éléments de Win32.bagle.hi

Comme je n'es pas envie de supprimer n'importe quoi, voici les dossiers dans lesquelles ils sont :

(SBI $5A6A2EC7) Exucutable ( idem pour les 212 )
C:Windows/System32/drivers/down/.............( ou ....... = numero ).exe



Il y en a 212 comme ça.

(SBI $37536BC2) Dossier programme
Viens ensuite un C:Windows/System32/drivers/down/


(SBI $CD1D5200)Réglages
Et une clé de registre : SoftWarefirtR


J'ai regarder les fichier, y a le trousseau de clé qui ressemble au fameux mdelk, mais d'autre exe fiché par SpyBot on une icone normal ( d'ou ma prudence de ne pas supprimer n'importe quoi )

Quand pensez vous ?

( A voir rien que le fichier down est suspect, surtout que sa date de création date de la venu de bagle )

[r@in | b0w]

Re, malheureusement.

C'est vraiment un super Bagle que t'as là!

1_ SoftWarefirtR regarde ici, onglet Détails;

2_ C:Windows/System32/drivers/down/...; tout ce b$^ù* "aurait du" partir avec Elibagla.
J'espère qu'un nouveau scan d'Elibagla en Mode sans échec (1: dans menu déroulant, ton disque dur; 2: option en bas "Eliminar Ficheros Automaticamente" cochée) suffira.

2bis_ Croise les doigts

3_ Post du nouveau rapport (par défaut C:InfoSat.txt)

[Fab62]

Elibagla lancer depuis " mode sans " echec.

M'en a supprimé, mais beaucoup moins que ce que Spybot me dit ( toute fois, plus de trousseau de clé dans windows/system32/driver/down )

Voici le rapport :

Fri Feb 01 19:24:35 2008
EliBagle v10.94 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Accion Directa):

Fri Feb 01 19:24:40 2008
EliBagle v10.94 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:
C:WINDOWSsystem32driversdown107953.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown110796.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown111718.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown113171.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown119609.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown119718.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown121484.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown121750.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown131515.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown138250.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown142687.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown14648671.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown14658015.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown14700796.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown150218.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown155812.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown163546.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown29156859.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown29171843.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown29218000.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown29228296.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown43683921.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown43693078.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown58205843.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown58211296.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown72928578.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdown72933953.EXE --> Eliminado Bagle

Nº Total de Directorios: 6100
Nº Total de Ficheros: 88465
Nº de Ficheros Analizados: 9655
Nº de Ficheros Infectados: 27
Nº de Ficheros Limpiados: 27

Je relance spybot, ensuite, suite demain.

Je me demande si je vais pouvoir le dire ce merci

Il reste 200 éléments win32.bagle.hi je regarde sa demain

[Fab62]

Je me demande si je peux supprimer tout sa avec SpyBot ( ou manuellement ), a la base existe t-il un dossier down dans les Drivers de Windows ( windows/system32/drivers/down ), j'ai fait des recherches sur ce fichiers, mais pour l'instant c'est le néant, a croire qu'il n'existe pas sauf pour bagle.

Quand à la clé de registre Software/FirtR vous dit t-elle quelques chose ?

Merci

[Ask to Old Man]

Bonjour,

Je me demande si je peux supprimer tout sa avec SpyBot ( ou manuellement ), a la base existe t-il un dossier down dans les Drivers de Windows ( windows/system32/drivers/down ), j'ai fait des recherches sur ce fichiers, mais pour l'instant c'est le néant, a croire qu'il n'existe pas sauf pour bagle.

Pas de dossier "down"& si Spybot te met une alerte, tu l'exécutes.

Quand à la clé de registre Software/FirtR vous dit t-elle quelques chose ?

Inconnue, elle aussi à virer.
Bonne chasse

[Fab62]

Bonjour,

Ask to Old Man, SpyBot ma tout viré sans problème, je reScan pour voir si ok

[Alex']

j'ai spybot aussi il est très bon.

[Fab62]

- Spybot > RAS ( sauf les 2 Microsoft.windowsSecuritycenter )
- Spyware Doctor > RAS
- Avast > RAS
- Ad-Aware > RAS
- EliBagla > RAS
- F-Secure en ligne > RAS
- AVG Anti-Rootkit ( scan en ligne ) > RAS

Auriez vous d'autres logiciel de scan a me conseillez suite à bagle pour être sur que cette s"*-ù%!^g ? soit définitivement supprimé ?

[r@in | b0w]

Bonjour et désolé pour le retard mais AtOM était là (merci de si bien surveiller les fils Pas de connexion du we...)

+1 avec AtOM pour la clé de registre, je t'avais mis le lien, sous-entendant qu'elle était un rebus de Bagle. Il vaut mieux tard que jamais pour l'effacer

Pour les logiciels, je ne vois pas, cause pas expert en la matière.

Si tu n'as plus rien de détecté ni par ton AV local ni par les scans en ligne, si Spybot et Elibagla ne trouvent rien, on peut dire que ça a l'air "clean".

Peut-être que d'autres auront plus d'idée pour s'assurer que Bagle est out!

[Fab62]

Merci bien.

Tout à l'air clean, je ne trouve plus aucune trace.

[r@in | b0w]

Merci bien.

Tout à l'air clean, je ne trouve plus aucune trace.

Ouf! Il nous avait fait tourné en bourrique celui-là .

à toi!