Votre question

Virus multirésistant (Elibagla,rsit,combofix,ccleaner,avast,etc)

Tags :
  • Avast
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Décembre 2008 23:43:43

Bonsoir

Je me présente très rapidement histoire de rendre ce post moins impersonnel: je m'apelle pierre-alexandre, j'ai 27ans, je suis cadre dans une boite d'indus chimique, donc quelques petites connaisances en info mais pas dégourdis en matière de virus ! Mon problème vient du fait que j'ai (très) bêtement attrapper un virus bagle que je n'arrive pas à virer de mon ordinateur perso winXP. Voici comment ça c'est passé et toutes les résistances qu'il m'a opposé:

Pensant installer un logiciel, je décompresse le dossier téléchargé et lance le fichier exe qui s'y trouve avec une icone réprésentant une ambulance: une fenêtre s'ouvre, j'ai juste le temps de voir marqué: NTSB flight investigator, et quelque lignes du genre "Airbus", "black box", "data generator"... la fenêtre se ferme d'elle même. Quelques minutes plus tard, premiers symptômes: ralentissement excessif de la machine, bugs en tout genre, accès à internet ralentit,... Je décide donc de lancer une analyse avast pour voir si un ver se cachait derrière tout ça. Mais le programme ne se lançe pas, message d'erreur suivant: "ashavast.exe n'est pas une application win32 valide".
Du coup je lance ccleaner, mais là rien non plus, enfin la fenêtre se lance et se referme aussitôt. Je supprime manuellement les dossiers compressés téléchargés, les fichiers décompressés résistent eux à la corbeille. Je fais un tour dans le système et un grand nettoyage manuel: cookies, temp files, et aussi les fichiers drivers (on sait jamais). Je place les fichiers louches dans la corbeille, mais ça resiste au vidage: j'ai pas l'autorisation. Je tente d'une autre manière de vider la corbeille, et là il me demande de confirmer que je veux supprimer windows ! Belle galère... L'ordinateur plante même carrément, et au redémarrage Windows me propose un scan. Je le lance sans y croire car tout plantait y compris internet. Et ça a pas loupé, page introuvable. En réactualisant tout bêtement la page ça fonctionne enfin.
Résultat: virus bagle.gen WinNT.



Première idée: commencer par elibagla. Le scan se lance, s'interrompt brutalement vers le début et entraine l'extinction de l'ordinateur. Au rédemarage, je tente au passage de démarrer en mode sans échec: aucun résultat ! Le mode est innaccessible il me renvoit à la page de choix après avoir booté quelques secondes. Obligé de partir en mode normal. Une fois la session lançée, elibagla se lance avant l'apparition du bureau (bonne nouvelle) le scan se passe bien et j'ai les résultats suivants:

  1. Mon Dec 29 16:14:33 2008
  2. EliBagle v12.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Diciembre del 2008)
  3. ----------------------------------------------
  4. Lista de Acciones (por Acción Directa):
  5. C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
  6. C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
  7. C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
  8. C:\DOCUMENTS AND SETTINGS\PIERRE DETREVESAC\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
  9. C:\DOCUMENTS AND SETTINGS\PIERRE DETREVESAC\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle


Je ferme le logiciel, mais là une fenêtre NTBS investigator flight se relance, et me refout la mouise. Retour au point de départ. Je réussis néanmoins à supprimer les fichiers supsects que j'avais décompréssés.



Deuxième idée: Déinstaller avast --> marche pas, fichier uninstall introuvable. Je trouve un site qui propose un fichier équivalent et je déinstalle avast. Puis je réinstalle avast en prenant bien soin de changer le nom des dossiers et de l'exe pour contourner le blocage par le virus, puis je le lance direct: mais rien à faire, "application win32 non valide".

Troisième idée: installer Combofix. Même réaction que avast, "application win32 non valide". Idem avec RSIT

Quatrième idée: je télécharge et lance Findykill, conseillé pour ce genre de virus. L'étape 1 se déroule normalement, je récupère le scan. Je vous fais pas l'offense de tout recopier ici, ça confirme ce qui a déjà été trouvé, manque plus qu'à supprimer ce trojan. Je relance et passe à l'étape 2: elle se lance... puis foirage complet. Là je commence à être à court d'idées ! (et de nerfs :sweat:  )

Cinquième idée: sur le rapport txt de findykill y'a une valeur hexadécimale dans les registres qui parait louche.

  1. /!\ Ndisuio - Type de démarrage = 4


Je suis pas informaticien mais je crois que la valeur 4=inactivation, et NDISuser I/O me concerne bien vu que je suis en réseau local. Je vais dans l'éditeur de registre (démarrer--> executer--> "regedit") et je remplace la valeur 4 par 2 ou 3 sans constater de différence entre les deux, la 2 étant la valeur par défaut. Pour ceux que ça interesse voici le chemin: HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ndisuio. Pas de changement notable, ma connexion fonctionne mais lagg beaucoup. Et de toute façon ce n'est qu'une des nombreuses modif que ce virus a du faire.

Sixième idée: ouvrir la fenêtre d'un grand imeuble et vérifier si la célèbre loi d'Isaac Newtion s'applique aux ordinateurs portables :pt1cable: 

Je sais vraiment plus quoi faire. Je suis désolé de vous faire perdre du temps mais je vous serais très reconnaissant si vous m'aidiez !!

Amicalement
PA

Autres pages sur : virus multiresistant elibagla rsit combofix ccleaner avast

30 Décembre 2008 15:02:53

Pas de réponses pour l'instant, j'espère qu'une âme chartiable atterira sur ce sujet :hello: 

En attendant y'a du nouveau. J'ai réussi à faire un scan combofix !! J'ai réinstaller combofix mais en changeant le nom de l'exe, et ça a marché. Je ne l'avais pas fais la première fois car j'avais déjà pris cette précaution pour avast (changer tous les noms) et ça n'avait pas empêcher le virus de bloquer l'application ! Donc cool une bonne chose de faite. Et voici la fin du scan:
  1. **************************************************************************
  2.  
  3. catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, <a href="http://www.gmer.net" rel="nofollow" target="_blank">http://www.gmer.net</a>
  4. Rootkit scan 2008-12-30 10:41:34
  5. Windows 5.1.2600 Service Pack 2 FAT NTAPI
  6.  
  7. Recherche de processus cachés ...
  8.  
  9. Recherche d'éléments en démarrage automatique cachés ...
  10.  
  11. Recherche de fichiers cachés ...
  12.  
  13. Scan terminé avec succès
  14. Fichiers cachés: 0
  15.  
  16. **************************************************************************
  17. .
  18. Heure de fin: 2008-12-30 10:41:57
  19. ComboFix-quarantined-files.txt 2008-12-30 09:41:56
  20. ComboFix2.txt 2008-12-29 18:34:52
  21.  
  22. Avant-CF: 3 831 398 400 octets libres
  23. Après-CF: 3,910,303,744 octets libres
  24.  
  25. 137 --- E O F --- 2008-12-20 10:02:42


J'espère au moins que le rootkit a bien été supprimé. Suite à ça j'ai pu relancer findykill et elle a trouvé ça:

[cpp]--------------- [ Infected files / folders ] ----------------


»»»» Supression files in C:


»»»» Supression files in C:\WINDOWS


»»»» Supression files in C:\WINDOWS\Prefetch

Deleted ! - C:\WINDOWS\prefetch\KEYGEN.EXE-1EB413C1.pf

»»»» Supression files in C:\WINDOWS\system32


»»»» Supression files in C:\WINDOWS\system32\config\systemprofile\AppData\Roaming


»»»» Supression files in C:\WINDOWS\system32\drivers


»»»» Supression files in C:\Documents and Settings\Pierre DETRVESAC\Application Data

Deleted ! - "C:\Documents and Settings\Pierre DETREVESAC\Application Data\drivers"

»»»» Supression files in C:\DOCUME~1\PIERRE~1\LOCALS~1\Temp


»»»» Supression files in C:\Documents and Settings\Pierre DETREVESAC\Local Settings\Temporary Internet Files\Content.IE5

Deleted ! - C:\Documents and Settings\Pierre DETREVESAC\Local Settings\Application Data\Microsoft\Media Player\Cache d'images\LocalMLS\{B85B645E-342A-47D7-A2A4-6EDBF6CCE89F}.jpg

--------------- [ Other deleting ] ----------------


--------------- [ Registry / Infected keys ] ----------------

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_USERS\S-1-5-21-441222156-688031207-4291599898-1005\Software\Local AppWizard-Generated Applications\keygen
Deleted ! - HKEY_USERS\S-1-5-21-441222156-688031207-4291599898-1005\Software\Local AppWizard-Generated Applications\msnmsgr
Deleted ! - HKEY_USERS\S-1-5-21-441222156-688031207-4291599898-1005\Software\Local AppWizard-Generated
a b 8 Sécurité
30 Décembre 2008 19:20:03

Bonjour,

Avant d'enregistrer Combofix, avec Internet Explorer, tu dois le renommer en Combo-Fix.exe.
2 Janvier 2009 21:38:59

Cool une réponse ! Oui merci pour l'info, en fait c'est ce que j'avais fais, je l'ai écrit dans le message précédent. D'ailleurs c'est pour ça que ça a marché, et que j'ai posté le scan.
2 Janvier 2009 21:54:41

bonjour
j'ai exactement le même souci depuis hier
galère!!
a b 8 Sécurité
3 Janvier 2009 18:26:48

Chacun son sujet.
p-a_detrevesac, il n'est pas là le rapport Combofix.
Anonyme
8 Août 2009 21:26:04

Salut PA,

J'espère que ton problème est résolu depuis plus de 6 mois :) 

J'ai un ami qui a le même problème et qui m'a amené son ordinateur.

Voici une solution que j'ai trouvé et qui semble fonctionner.

http://forum.pcastuces.com/virus_desactive_avast_et_emp...

Bonne chance !

Toche
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS