Problème virus • page 3

[xana]

par contre merci car j'ai l'impression que les manip que vous m'avez fait faire ont supprimé malgré tout pas mal supprimé de virus

[Lieutenant_CeDrIc972]

Merci du rapport.

¤ Ce rapport prouve en effet que tu es infecté par plusieurs bestioles.
-Après le scan as tu cliqués sur Supprimer la sélection ?



¤Ce "malware" est du genre très malin on va y remédié :

-Tu renommes "Elibagla" par : hldrrr.exe
-Tu le lances à nouveau et tu suis ma procédure cité plus haut afin de nous donnés le rapport

[r@in | b0w]

Bonjour.

-Après le scan as tu cliqués sur Supprimer la sélection ?

Il faudrait regarder le rapport d'un peu plus prêt

D'autant que ce n'est pas un simple rapport d'analyse!

Delete on reboot signifie supprimer lors du redémarrage.
Quarantined and deleted successfully signifie que le fichier a été mis en quarantine puis supprimé aevc succès...

Pour le lancement d'EliBagla, c'est comme avec HiJackThis.
Bagle reconnait ses ennemis et les neutralise avant qu'ils opérent.

Il faut donc les renommer avant de les lancer.

Si cela ne fonctionne pas, tu les supprimes puis les télécharges à nouveau.
Ensuite et avant de les utiliser, tu les renommes comme ceci:

[Lieutenant_CeDrIc972]

Bonjour r@in | b0w,

La prochaine fois je saurai...et merci
Cependant , c'est très embêtant (pour ne pas dire énervant..)que tu me reprenne à chaque de mes propositions. Je ne suis pas un spécialiste anti-bestiole ce qui est normal que je pose des questions (certainement bête pour toi grand expert ) ..Chaque personne ont leur manière de procédé et c'est une chose qu'il faut selon moi respecté.

Je ne suis pas là pour faire des chichi et je ne doute pas tes capacités pour résoudre le problème de xana voilà pour laquelle xana je le laisse résoudre tes multiple infections

[xana]

J'ai réussi en le renommant HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:27:34, on 29/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesLavasoftAd-Aware 2007aawservice.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32driversCDAC11BA.EXE
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:Program FilesAnalog DevicesSoundMAXSMTray.exe
C:Program FilesLogitechiTouchiTouch.exe
C:Program FilesiTunesiTunesHelper.exe
C:Program FilesQuickTimeqttask.exe
C:Program FilesJavajre1.5.0_06injusched.exe
C:Program FilesFichiers communsRealUpdate_OB ealsched.exe
C:Program FilesLogitechMouseWaresystemem_exec.exe
C:Program FilesiPodiniPodService.exe
C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesYahoo!WidgetsYahooWidgetEngine.exe
C:PROGRA~1INCRED~1inIMApp.exe
C:Program FilesYahoo!WidgetsYahooWidgetEngine.exe
C:Program FilesYahoo!WidgetsYahooWidgetEngine.exe
C:Program FilesJavajre1.5.0_06injucheck.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and Settings\_Paula_Mes documentsAnti virus et spyware
ettoyeur HI.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.neuf.fr
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:Program FilesRealRealPlayer pbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06inssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program FilesNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:Program FilesNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
O4 - HKLM..Run: [Smapp] C:Program FilesAnalog DevicesSoundMAXSMTray.exe
O4 - HKLM..Run: [zBrowser Launcher] C:Program FilesLogitechiTouchiTouch.exe
O4 - HKLM..Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec SharedccApp.exe"
O4 - HKLM..Run: [NAV CfgWiz] C:Program FilesFichiers communsSymantec SharedCfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM..Run: [Symantec NetDriver Monitor] C:PROGRA~1SYMNET~1SNDMon.exe
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0_06injusched.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osboot
O4 - HKCU..Run: [IncrediMail] C:Program FilesIncrediMailinIncMail.exe /c
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Spybot - Search & DestroyTeaTimer.exe
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
O4 - HKCU..Run: [drvsyskit] C:WINDOWSsystem32drivershldrrr.exe
O4 - HKCU..Run: [german.exe] C:WINDOWSsystem32wintems.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user')
O4 - Startup: Yahoo! Widget Engine.lnk = C:Program FilesYahoo!WidgetsYahooWidgetEngine.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:PROGRA~1INCRED~1in esourcesWebMenuImg.htm
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:Program FilesCopernic AgentCopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06inssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:Program FilesCopernic AgentCopernicAgent.exe
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:Program FilesCopernic AgentCopernicAgent.exe
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:Program FilesCopernic AgentCopernicAgent.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:SPYBOT~1SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 7071994603
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 0934388546
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:Program FilesLavasoftAd-Aware 2007aawservice.exe
O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:Documents and Settings\_Paula_Mes documentsAVG Anti-Spyware 7.5guard.exe (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:WINDOWSsystem32driversCDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

--
End of file - 7727 bytes

[r@in | b0w]

Re.

A ne pas prendre mal même si mes messages sont incisifs.

Il vaut mieux relire ce qu'on écrit quand on désinfecte une machine car, à l'autre bout, il y a quelqu'un avec un souci pénalisant qui empêche une utilisation normale.

Aussi, je te reprends, pas pour le simple plaisir, mais par soucis d'exactitude et de résultats.
Et, rassure-toi, je fais de même avec d'autres si j'ai vu quelque chose de supplémentaire ou qu'il manque une information.

Cela peut paraître orgueilleux mais il n'en est rien, je suis juste perfectionniste.

On continuera cette discussion en MP si tu le veux bien.


@ xana: tu redémarres en Mode sans échec ([F8] au démarrage).

Tu cliques sur Démarrer puis Exécuter et tu copies-colles chaque ligne en les validant une par une par [Entrée]:

Code: Tout sélectionner

del C:WINDOWSsystem32mdelk.exe
del C:WINDOWSsystem32wintems.exe
del C:WINDOWSsystem32hldrrr.exe
del C:WINDOWSsystem32driverssrosa.sys

Tu redémarres en Mode normal et tu relances Elibagla.

Ps: j'espère que la Restauration automatique du système est toujours désactivée...

Tu fais ensuite un nouveau scan HiJackThis.

[xana]

Avant ton nouveau post j'ai réussit à lancer Elibagla en renommant:
Fri Aug 29 13:36:21 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Accion Directa):
C:WINDOWSSYSTEM32WINTEMS.EXE --> Bagle Acceso Denegado.
C:WINDOWSSYSTEM32BAN_LIST.TXT --> Eliminado Bagle
C:WINDOWSSYSTEM32DRIVERSSROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:MuestrasHLDRRR.EXE.Muestra EliBagle v11.66
a "virus@satinfo.es". Gracias.
C:WINDOWSSYSTEM32DRIVERSHLDRRR.EXE --> Bagle Acceso Denegado.
C:DOCUMENTS AND SETTINGS\_PAULA_APPLICATION DATAMFLEC006.EXE --> Bagle Acceso Denegado.

Fri Aug 29 13:37:05 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Accion Directa):
C:WINDOWSSYSTEM32WINTEMS.EXE --> Bagle Acceso Denegado.
C:WINDOWSSYSTEM32DRIVERSSROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Fri Aug 29 13:37:20 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Accion Directa):
C:WINDOWSSYSTEM32WINTEMS.EXE --> Bagle Acceso Denegado.
C:WINDOWSSYSTEM32DRIVERSSROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:MuestrasHLDRRR.EXE.Muestra EliBagle v11.66
a "virus@satinfo.es". Gracias.
C:WINDOWSSYSTEM32DRIVERSHLDRRR.EXE --> Bagle Acceso Denegado.
C:DOCUMENTS AND SETTINGS\_PAULA_APPLICATION DATAMFLEC006.EXE --> Bagle Acceso Denegado.

Fri Aug 29 15:32:06 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Accion Directa):
C:WINDOWSSYSTEM32BAN_LIST.TXT --> Eliminado Bagle
Restaurada Clave: "SafeBootMinimal y Network"

Fri Aug 29 15:32:16 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:

Nº Total de Directorios: 3981
Nº Total de Ficheros: 50942
Nº de Ficheros Analizados: 10319
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Fri Aug 29 15:36:48 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:

Nº Total de Directorios: 3982
Nº Total de Ficheros: 50950
Nº de Ficheros Analizados: 10320
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Fri Aug 29 15:37:13 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:

Nº Total de Directorios: 3982
Nº Total de Ficheros: 50950
Nº de Ficheros Analizados: 10320
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Est ce que je dois quand même faire la procédure en mode sans echec

[xana]

"j'espère que la Restauration automatique du système est toujours désactivée... "
tu veux dire est ce que j'ai décoché la case : désactivé la restauration du système ?
j'espère que c'est bien la bonne case

[r@in | b0w]

En effet, il va falloir partir en Mode sans échec pour bien éliminer Bagle.

1_ Tu désactives la Restauration automatique du système si elle est toujours active pour supprimer tous les points de restauration et ne pas en créer de nouveau.

Il faut que la fenêtre soit comme ceci avec la ligne Désactiver la restauration du système cochée:



2_ Tu redémarres en Mode sans échec ([F8] au démarrage).

Tu cliques sur Démarrer puis Exécuter et tu copies-colles chaque ligne en les validant une par une par [Entrée]:

Code: Tout sélectionner

del C:WINDOWSSYSTEM32WINTEMS.EXE
del C:WINDOWSSYSTEM32DRIVERSSROSA.SYS
del C:WINDOWSSYSTEM32DRIVERSHLDRRR.EXE
del C:DOCUMENTS AND SETTINGS\_PAULA_APPLICATION DATAMFLEC006.EXE

Tu redémarres en Mode normal et tu relances Elibagla dont tu postes le rapport dans ton prochain message.

3_ Tu fais ensuite un nouveau scan HiJackThis et tu postes le rapport aussi.

[xana]

bon à present j'arrive a me mettre en mode sans echec seulement je n'ai pas executer en mode sans echec comment je dois faire

[r@in | b0w]

bon à present j'arrive a me mettre en mode sans echec seulement je n'ai pas executer en mode sans echec comment je dois faire

Tu cliques sur Démarrer avant de cliquer sur Exécuter.

Tu trouveras Exécuter en bas à droite, au dessus d'Arrêter l'ordinateur, comme ici.

Tu arriveras ensuite sur cette fenêtre:



Il te restera les copier-coller à effectuer à la place ici du msconfig

Ps: tu ne peux pas aller sur Internet en Mode sans échec, fais un copier-coller des lignes et enregistres-les sur un fichier texte pour le récupérer ensuite.

[xana]

non lorsque je clique sur démarrer quand je suis en mode sans echec je n'ai pas executer

[xana]

Je m'xplique : après le démarrage en mode sans échec, la fonction exécuter dans le menu démarrer apparait plus
Donc dans l'aide windows ils disent d'aller rechercher msconfig.exe dans Ci386 ou Cwindowsservice pack filesi386 pour pouvoir décocher SAFEBOOT (sans echec) ce que j'ai fait hors c'était déjà décoché. J'ai relancé le mode sans échec et je n'est toujours pas cette fonction. Qu'est ce que je dois faire ?

[r@in | b0w]

Alors deux possiblités.

1_ Tu es allée sur la session Administrateur?

Je pense que ta session est limitée car, après essai sur ma session personnelle puis sur la session Administrateur, l'outil Exécuter est disponible.

Tentes en Mode sans échec de passer sur la session Administrateur et de faire les suppressions.

2_ Sinon, on va passer par un autre utilitaire de désinfection.

Tu télécharges ComboFix.

Tu le lances ensuite en double cliquant dessus, tu confirmes l'ouverture en cliquant sur Exécuter.

A la fenêtre Disclaimer, tu tapes sur [1].

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes surtout pas, il se charge de tout.
Laisse-le faire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.

Après, on va pouvoir enlever les fichiers vérolés grâce à ComboFix, on attend le rapport pour déclencher la suite des opérations.

[xana]

désolé je n'ai pas pu le faire avant avec mon travail, bon j'ai essayé comboFix et il ne s'ouvre pas en me disant que ce n'est pas une application win32