Se connecter / S'enregistrer
Votre question

Trojan BAGLE

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Juillet 2008 17:09:33

Bonjour à tous,


Je trouve quasiment tout le temps le moyen de m'en sortir seule, mais là je commence à manquer d'idées pour résoudre mon problème.


J'ai été infectée par le virus Bagle et j'ai lu quelques sujets qui m'ont appris que je pouvais demander de l'aide à un "helper" ici (par exemple Merillym). Ce que je vais donc faire. Je me permets de lier le sujet que j'ai posté sur Forum Hardware, pour donner plus d'informations sur ma situation.


http://forum.hardware.fr/hfr/WindowsSoftware/Virus-Spyw...


Si vous pouviez également répondre aux questions que j'ai posé là-bas, ça m'éclairerait.


Le seul message que j'ai reçu me dit de formater mais je suis certaine de pouvoir faire autrement.

Je vous remercie par avance de votre aide

Autres pages sur : trojan bagle

a b 8 Sécurité
8 Juillet 2008 19:10:40

Bonjour,

On va d'abord voir si ton pc est toujours infecté avant.
Refais un scan Combofix puis poste le rapport ici.
8 Juillet 2008 19:45:54

Bonsoir et merci pour ta réponse,

Dois-je faire quelques manip avant de passer ComboFix (renommage, mode sans échec, désactivation de la restauration) ?

Merci
Contenus similaires
a b 8 Sécurité
8 Juillet 2008 19:53:54

Nop pas besoin ;) 
8 Juillet 2008 20:00:46

ok je lance le scan
8 Juillet 2008 20:15:53

voila ce que ca dit :

ComboFix 08-07-02.5 - Lauriane 2008-07-08 19:57:41.6 - FAT32x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.510 [GMT 2:00]
Endroit: C:\Documents and Settings\Lauriane\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-08 to 2008-07-08 ))))))))))))))))))))))))))))))))))))
.

2008-07-08 08:05 . 2008-07-08 08:06 <REP> d-------- C:\Program Files\AVG Anti-Rootkit Free
2008-07-08 08:05 . 2007-01-18 14:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-07-08 08:00 . 2008-07-08 08:00 <REP> d-------- C:\Program Files\Sophos
2008-07-07 13:43 . 2008-07-07 13:43 <REP> d-------- C:\WINDOWS\report
2008-07-07 13:43 . 2008-07-07 13:41 25,111,413 --a------ C:\WINDOWS\LPT$VPN.389
2008-07-07 13:41 . 2008-07-07 13:41 <REP> d-------- C:\WINDOWS\AU_Backup
2008-07-07 13:41 . 2008-07-07 13:41 25,111,413 --a------ C:\WINDOWS\VPTNFILE.389
2008-07-07 13:41 . 2008-07-07 13:41 1,960,861 --a------ C:\WINDOWS\tsc.ptn
2008-07-07 13:41 . 2008-07-07 13:41 1,213,784 --a------ C:\WINDOWS\vsapi32.dll
2008-07-07 13:41 . 2008-07-07 13:41 333,576 --a------ C:\WINDOWS\TSC.exe
2008-07-07 13:41 . 2008-07-07 13:41 91,744 --a------ C:\WINDOWS\BPMNT.dll
2008-07-07 13:41 . 2008-07-07 13:41 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-07-07 13:41 . 2008-07-08 00:57 823 --a------ C:\WINDOWS\tsc.ini
2008-07-07 13:36 . 2008-07-07 13:36 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-07-07 13:34 . 2008-07-07 13:34 <REP> d-------- C:\WINDOWS\AU_Temp
2008-07-07 13:34 . 2008-07-07 13:34 <REP> d-------- C:\WINDOWS\AU_Log
2008-07-07 13:34 . 2008-07-07 13:34 170 --a------ C:\WINDOWS\GetServer.ini
2008-07-07 13:33 . 2008-07-07 13:33 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-07-07 13:33 . 2008-07-07 13:33 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-07-07 13:33 . 2008-07-07 13:33 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-07-07 13:31 . 2008-07-07 13:31 <REP> d-------- C:\Documents and Settings\Lauriane\.housecall6.6
2008-07-07 13:31 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-07-07 13:30 . 2008-07-07 13:30 <REP> d-------- C:\Program Files\Panda Security
2008-07-05 13:28 . 2008-07-05 13:28 1,649,154 --a------ C:\upload_moi_PC-LAURIANE.tar.gz
2008-07-05 13:19 . 2008-07-05 13:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
2008-07-04 00:40 . 2008-07-04 00:40 <REP> d-------- C:\Program Files\Malwarebytes
2008-07-04 00:40 . 2008-07-04 00:40 <REP> d-------- C:\Documents and Settings\Lauriane\Application Data\Malwarebytes
2008-07-04 00:40 . 2008-07-04 00:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-04 00:40 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-04 00:40 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-04 00:34 . 2008-07-04 00:34 250 --a------ C:\WINDOWS\gmer.ini
2008-07-03 20:38 . 2008-07-03 20:38 <REP> d-------- C:\Program Files\Konvertor
2008-07-03 19:24 . 2008-07-03 19:24 <REP> d-------- C:\_Enregistrements Pinnacle
2008-06-22 17:33 . 2008-06-22 17:33 <REP> d-------- C:\Program Files\Garmin
2008-06-22 16:52 . 2008-06-22 16:52 <REP> d-------- C:\Program Files\Ziepod
2008-06-22 16:52 . 2007-01-25 23:34 47,616 --a------ C:\WINDOWS\system32\ZiepodOneClicker.dll
2008-06-22 11:13 . 2008-06-22 11:13 <REP> d-------- C:\Program Files\Garmin GPS Plugin
2008-06-22 11:13 . 2008-06-22 11:13 <REP> d-------- C:\Garmin
2008-06-22 11:13 . 2008-06-22 11:13 <REP> d-------- C:\Documents and Settings\Lauriane\Application Data\GARMIN
2008-06-19 18:51 . 1993-07-23 00:00 210,944 --a------ C:\WINDOWS\system32\Msvcrt10.dll
2008-06-19 18:51 . 2001-03-15 06:55 101,200 --a------ C:\WINDOWS\system32\pdfshell.dll
2008-06-19 18:51 . 2001-04-10 01:56 12,288 --a------ C:\WINDOWS\system32\PDFShell.FRA
2008-06-19 18:49 . 2008-06-19 18:49 <REP> d-------- C:\Documents and Settings\Lauriane\Application Data\InterTrust
2008-06-10 22:40 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 22:40 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-03 18:56 45,056 ----a-w C:\WINDOWS\system32\acovcnt.exe
2008-05-31 17:15 --------- d-----w C:\Documents and Settings\Lauriane\Application Data\eTeks
2008-05-25 14:26 --------- d-----w C:\Program Files\Noiseware
2008-05-20 19:04 --------- d-----w C:\Documents and Settings\Lauriane\Application Data\.purple
2008-05-20 19:01 --------- d-----w C:\Program Files\Aspell
2008-05-20 19:00 --------- d-----w C:\Program Files\Fichiers communs\GTK
2008-05-20 17:36 27,808 ----a-w C:\Documents and Settings\Lauriane\Application Data\GDIPFONTCACHEV1.DAT
2008-05-19 20:11 --------- d-----w C:\Documents and Settings\Lauriane\Application Data\U3
2008-05-18 22:20 --------- d-----w C:\Program Files\FlashGet
2008-05-18 16:55 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-05-18 16:55 249,856 ------w C:\WINDOWS\Setup1.exe
2008-05-16 16:48 --------- d-----w C:\Program Files\RealSpeakSolov4
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\RMCast.sys
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-17 10:47 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe
2008-04-15 19:54 286,720 ----a-w C:\WINDOWS\iun507.exe
2007-12-02 08:33 30 ----a-w C:\Program Files\Exiferupdate.ini
2007-01-25 01:52 65,536 ----a-w C:\Program Files\Fichiers communs\NMSAccessU.exe
.

((((((((((((((((((((((((((((( snapshot@2008-07-06_ 1.37.36,18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-07-02 00:51:48 71,749 ----a-w C:\WINDOWS\AU_Temp\1\27\hcextoutput.dll
+ 2008-07-02 00:51:48 333,576 ----a-w C:\WINDOWS\AU_Temp\1\27\TSC.exe
+ 2006-11-22 15:48:28 91,744 ----a-w C:\WINDOWS\AU_Temp\2\4\BPMNT.dll
+ 2008-03-30 16:55:22 1,213,784 ----a-w C:\WINDOWS\AU_Temp\2\4\vsapi32.dll
+ 1999-07-23 08:53:20 129,536 ----a-w C:\WINDOWS\AuHCcup1.dll
+ 2008-07-07 11:37:12 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll
+ 2008-07-07 11:37:14 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll
+ 2008-07-07 11:37:14 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll
+ 2008-07-07 11:37:20 181,760 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll
+ 2006-05-24 23:21:00 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2006-05-24 23:21:14 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll
+ 2008-07-07 11:37:24 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll
+ 2008-07-07 11:37:16 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll
+ 2006-05-24 23:22:06 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
- 2008-07-05 13:13:20 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-08 17:51:50 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-30 08:39:58 128,256 ----a-w C:\WINDOWS\Downloaded Program Files\as2stubie.dll
+ 2006-05-24 23:21:00 118,784 ----a-w C:\WINDOWS\Downloaded Program Files\bdupd.dll
+ 2006-05-24 23:21:14 53,248 ----a-w C:\WINDOWS\Downloaded Program Files\ipsupd.dll
+ 2002-10-15 12:29:40 77,824 ----a-w C:\WINDOWS\loadhttp.dll
+ 2001-12-14 11:34:46 164,864 ----a-w C:\WINDOWS\patchw32.dll
+ 2005-11-02 16:07:12 99,328 ----a-w C:\WINDOWS\runtsckl.exe
+ 2007-01-31 13:33:46 5,632 ----a-w C:\WINDOWS\system32\drivers\avgarkt.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE67B5AA-B590-4034-98B5-6AEAAF558B95}]
2007-11-29 19:15 798720 --a------ C:\Program Files\gPhotoShow Toolbar\v3.2.0.0\gPhotoShow_Toolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{28F4A32B-116F-48FD-B4CE-4273852BB730}"= "C:\Program Files\gPhotoShow Toolbar\v3.2.0.0\gPhotoShow_Toolbar.dll" [2007-11-29 19:15 798720]

[HKEY_CLASSES_ROOT\clsid\{28f4a32b-116f-48fd-b4ce-4273852bb730}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-05 13:20 68856]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-05-30 21:31 98304]
"PowerForPhone"="C:\Program Files\ASUS\PowerForPhone\PowerForPhone.exe" [2006-06-29 14:40 774144]
"ACMON"="C:\Program Files\ASUS\Splendid\ACMON.exe" [2006-05-30 10:28 811008]
"Wireless Console 2"="C:\Program Files\Wireless Console 2\wcourier.exe" [2005-10-17 17:09 987136]
"ATKMEDIA"="C:\Program Files\ASUS\ATK Media\DMEDIA.EXE" [2006-06-08 20:33 53248]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 05:02 786521]
"ABLKSR"="C:\WINDOWS\ABLKSR\ABLKSR.exe" [2006-01-02 19:14 61440]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"Power_Gear"="C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-14 17:46 90112]
"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 00:38 802816]
"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 00:32 696320]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 08:32 262401]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-09-01 15:57 282624]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 01:56 16261632 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 03:04 2879488 C:\WINDOWS\SkyTel.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 101136 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
MultiFrame.lnk - C:\Program Files\ASUS\Asus MultiFrame\MultiFrame.exe [2007-11-19 16:02:40 491520]
Bluetooth Manager.lnk - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2006-05-16 11:42:52 1777664]
MSN Plus.lnk - C:\Program Files\MSN Messenger\Plus\MsgPlus.exe [2007-11-29 20:36:59 190024]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=MsgPlusLoader.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"RemoteControl"="C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe"
"SMSERIAL"=C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\DAP\\DAP.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\BitTorrent\\bittorrent.exe"=
"C:\\Program Files\\Java\\jre1.5.0_10\\bin\\javaw.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=
"C:\\Program Files\\FileZilla\\FileZilla.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\QuickTime\\QuickTimePlayer.exe"=

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24]
R2 NMSAccessU;NMSAccessU;C:\Program Files\Fichiers communs\NMSAccessU.exe [2007-01-25 03:52]
R3 SynMini;USB2.0 1.3M WebCam;C:\WINDOWS\system32\Drivers\SynMini.sys [2006-08-08 23:15]
R3 SynScan;USB2.0 1.3M WebCam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys [2006-08-08 23:15]
S3 ipswuio;ipswuio;C:\WINDOWS\system32\DRIVERS\ipswuio.sys [2006-01-24 10:45]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\E2.tmp []
S3 USB28xxBGA;Pinnacle PCTV DVB-T USB Stick;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2005-11-22 19:04]
S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2005-11-22 19:04]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S4 msvsmon80;Débogueur distant Visual Studio 2005;"c:\Program Files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\LaunchU3.exe -a

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-07-08 17:51:56 C:\WINDOWS\Tasks\GlaryInitialize.job"
- C:\Program Files\Glary Utilities\initialize.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-08 19:59:59
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\E2.tmp"
.
Temps d'accomplissement: 2008-07-08 20:00:25
ComboFix-quarantined-files.txt 2008-07-08 18:00:24
ComboFix4.txt 2008-07-05 23:37:46
ComboFix3.txt 2008-07-08 11:32:16
ComboFix2.txt 2008-07-08 15:25:26

Pre-Run: 54,348,939,264 octets libres
Post-Run: 54,335,111,168 octets libres

201 --- E O F --- 2008-06-19 21:22:33
a b 8 Sécurité
8 Juillet 2008 20:50:50

C'est apparemment ok.

Analyse le fichier suivant sur VirusTotal puis poste le rapport :
C:\WINDOWS\system32\E2.tmp

Tente la désinstallation/réinstallation de AntiVir.
8 Juillet 2008 21:05:59

J'ai regardé et je n'ai pas ce fichier dans le répertoire system32... une idée de pourquoi?

Est-ce que je tente quand même la désinstall/réinstall de Antivir?

Question annexe : ma Google Toolbar a encore disparu dans IE (alors qu'elle est encore installée), l'un des outils pour la désinfection pourrait-il être responsable de ce problème que je rencontre?
a b 8 Sécurité
8 Juillet 2008 21:12:02

Citation :
J'ai regardé et je n'ai pas ce fichier dans le répertoire system32... une idée de pourquoi?

T'as bien accès aux fichiers cachés ?
Je pense que le fichier n'est plus là mais le service encore. Pas très grave.

Citation :
Est-ce que je tente quand même la désinstall/réinstall de Antivir?

Ouaip.

Citation :
Question annexe : ma Google Toolbar a encore disparu dans IE (alors qu'elle est encore installée), l'un des outils pour la désinfection pourrait-il être responsable de ce problème que je rencontre?

Normalement nan. La réinstall ne fonctionne pas ?
8 Juillet 2008 21:19:25

Oui j'ai bien accès aux fichiers cachés mais il n'est pas là.

Je vais tenter la désinstall/réinstall de Antivir.

Pour ma Google Toolbar, la réinstall me dit "hey vous avez déjà la google toolbar!". Elle apparaît aussi dans Ajout/Suppression de programmes, je peux la désinstaller puis la réinstaller et là elle réapparaît. Comme je l'ai déjà fait, c'est pour ça que je sais. Et je me demandais si l'un des outils de désinfection remettait pas une clé de registre à une valeur "par défaut" qui me virerait ma barre. Surtout que quand je lance pas d'outils de désinfection, d'un redémarrage à l'autre, elle est toujours là...


EDIT :
La désinstallation et réinstallation de Antivir s'est très bien passée.

Une idée quant à ma toolbar sinon ?

J'attends tes directives pour la suite, je continuerais de m'en occuper demain, merci !
a b 8 Sécurité
8 Juillet 2008 21:30:42

T'as essayé de supprimer à la main pour réinstaller ?
8 Juillet 2008 21:34:00

Si tu parles de ma barre Google, je ne vois pas l'intérêt de la supprimer "à la main" ou alors on ne s'entend pas sur le "à la main". Je l'ai déjà désinstallée avec Ajout/Suppression de programmes, ça a marché très bien, puis réinstall, très bien aussi. Je n'ai pas d'intérêt (à priori) de la désinstaller "à la main".

Enfin c'est secondaire, je me débrouillerais pour ça, l'essentiel pour l'instant c'est que Bagle vire de mon PC!

J'attends tes directives pour la suite, merci!
a b 8 Sécurité
8 Juillet 2008 21:54:24

Citation :
Si tu parles de ma barre Google, je ne vois pas l'intérêt de la supprimer "à la main" ou alors on ne s'entend pas sur le "à la main". Je l'ai déjà désinstallée avec Ajout/Suppression de programmes, ça a marché très bien, puis réinstall, très bien aussi. Je n'ai pas d'intérêt (à priori) de la désinstaller "à la main".

Bah j'ai pas compris ton problème avec la barre alors :/ 

Citation :
Enfin c'est secondaire, je me débrouillerais pour ça, l'essentiel pour l'instant c'est que Bagle vire de mon PC!

Il n'est plus présent. On peut toujours faire une dernière vérif :

Télécharge Gmer.
Dézippe le dans un dossier ou sur ton bureau.

Déconnecte toi d'Internet puis et ferme tous les programmes.
Double-clique sur Gmer.exe.

IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

Clique sur l'onglet rootkit.
A droite, coche Files et Services.
Clique maintenant sur Scan.

Lorsque le scan est terminé, clique sur Copy.

Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
9 Juillet 2008 07:41:31

Salut !

Je suis de retour. Alors à propos de ma GoogleBar je vais essayer d'être plus claire. Lorsque je l'installe, je la vois dans IE, pas de souci. De temps en temps, après redémarrage (et après scan de mon PC avec divers outils), la barre Google disparait de IE mais le système croit qu'elle est toujours là (elle apparaît dans Ajout / Suppression de programmes, la réinstallation me dit que je l'ai déjà installée). Je ne la vois plus dans la liste des barres d'outils de IE pourtant elle est toujours installée dans mon Windows. Je peux la désinstaller, puis la réinstaller, et là elle réapparait. Mais après quelques manips, elle s'en va et rebelote. Comme ça n'arrive que depuis que j'ai chopé Bagle, je me disais que sa disparition était peut être liée à un outil qui la considère comme un malware et me vire une clé de registre quelque part (un truc du genre GoogleBarVisible = False, dans l'idée). Est-ce que tu m'as compris à peu près ?

Revenons à Bagle. Comment peux-tu affirmer qu'il n'est plus présent sur mon système ? Lorsque j'avais testé des antivirus en ligne, certains avaient détecté des infections pourtant (j'avais testé BitDefender, Panda, et deux autres dont j'ai oublié le nom).

A propos de Gmer : le scan en ne cochant que Files et Services me retourne le message : "GMER hasn't found any system modification". En revanche, en cochant tout, j'obtiens le rapport suivant (cf en fin de post). Dans les deux cas, gmer.exe et gmer.sys ne m'ont pas causé d'alerte antivirus.

Quelques autres questions en vrac si tu peux y répondre (c'est bonus pour moi), ce sont celles que j'ai postées sur l'autre forum :

1) Comment être sûre et certaine que mon PC est complètement désinfecté ?
2) Que faire avec ma clé USB sur laquelle j'ai copié à l'arrache des données critiques lorsque mon PC s'est mis à déconner ? Comment être sûre qu'elle n'est pas contaminée, et si elle l'est comment désinfecter sans risque de recontaminer mon PC ?
3) Bagle s'attaque-t-il aux photos JPG ? (j'ai un besoin urgent de mon PC pour ça, et au cas où il y ait des résidus de Bagle, je ne veux pas perdre mes photos)
4) Bagle, qui contamine les mails, s'attaque-t-il aux mails si l'infection ne vient pas d'un mail ?
5) Est-il possible que le virus "dorme" quelque part dans un coin de mon PC et puisse être réactivé ? Comme par exemple ce que j'ai lu autour de la restauration du système (la désactiver puis la réactiver pour la purger) ?

Je te remercie de ton aide et voici mon log gmer pour toutes les cases cochées :


GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-09 01:40:51
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT F7C370A4 ZwCreateThread
SSDT F7C37090 ZwOpenProcess
SSDT F7C37095 ZwOpenThread
SSDT F7C3709F ZwTerminateProcess
SSDT F7C3709A ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 9878ADB65944ADD73138CDA6D53C0ACA42BA39BEC75D63AA718EC5971F1FF4E417BA1DD67A7EB7BD5BEBD473508BBCBFE2660ED39B44987B8F46A6AF2F435E1ACD197E4E823A273AF1404B0E1B402F25AB28F237066D02C87BC609AC5A4531104DF5C8DF50761F7D0B152D1969E75E9DD17E1091281095C9AE4BDCDB5129FDB37069D39C48246CC77E7DDF0EF07EED634F1AF062A8D9EE4CE24276E1CEE7F985D1BF5EEBD3297BF1EA4327FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933BA7FD869164D67945D575E7D6A3B9808FEBC9E127BECC74C40CB4F354D838C37CFBF101BAD21261D75808694FB91BF280A70C9B20CAB555F0B58C64EF7496E728D0000CC3F62C54C8D549CFBB43C3C31819AC2FB45291FF4C43DC13C04D639BBD29B92030AA93A4DC7F52289A930ECF6C35F6E27ED1F367F8AC77289E95F6D287D92E402DC2C823EEA37415C9C446C409C01A44C5C25F48FC84EFE69B7DBC531C3690A341AE3D3A18DEF183565118EB7A94731A7FC156A18C3A67DAE0F09ABB3ABA88527B70C95DD9E763AFDEF75596E5C7B5318D10E58F2112C7DD3A4E540F1915DD38DBFA766BDDCAB303E3B1304D679EC41A16D75B6DB9DBF7F74423655112598E2BD527A15EE5E6E72285951FDC69CEE21EDF96F307226C47753C
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x71 0x3B 0x04 0x66 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x25 0xDA 0xEC 0x7E ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x6B 0x65 0x49 0x6A ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xDF 0x20 0x58 0x62 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0x51 0xFA 0x6E 0x91 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0x2A 0xB7 0xCC 0xB5 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x6C 0x43 0x2D 0x1E ...

---- EOF - GMER 1.0.14 ----
a b 8 Sécurité
9 Juillet 2008 13:17:51

Re,

Pour la GoogleToolbar, c'est peut être Combofix qui la désactive. Tu l'utilise souvent ce tool ?

Citation :
1) Comment être sûre et certaine que mon PC est complètement désinfecté ?

Déjà je suis un homme :D 
Si Bagle était présent, Combofix nous en aurait déjà donné des signes de sa présence (avec des fichiers supprimés ou plus simplement le listing qu'il réalise). Le rapport Gmer me confirme cette idée.

Citation :
2) Que faire avec ma clé USB sur laquelle j'ai copié à l'arrache des données critiques lorsque mon PC s'est mis à déconner ? Comment être sûre qu'elle n'est pas contaminée, et si elle l'est comment désinfecter sans risque de recontaminer mon PC ?

Bagle ne contamine pas les fichiers. Il peut les rendre inutilisable mais pas les infecter.
Donc si tu n'as que des fichiers clean, c'est bon.

Citation :
3) Bagle s'attaque-t-il aux photos JPG ? (j'ai un besoin urgent de mon PC pour ça, et au cas où il y ait des résidus de Bagle, je ne veux pas perdre mes photos)

Nop. Bagle :
- reboot
- impossible d'accéder au MSE
- bloque antivirus & autres outils

Citation :
4) Bagle, qui contamine les mails, s'attaque-t-il aux mails si l'infection ne vient pas d'un mail ?

Même réponse que ci-dessus. Bagle ne touche pas aux mails.

Citation :
5) Est-il possible que le virus "dorme" quelque part dans un coin de mon PC et puisse être réactivé ? Comme par exemple ce que j'ai lu autour de la restauration du système (la désactiver puis la réactiver pour la purger) ?

Oui, "purge" la restau. Il ne dort pas puisque qu'il n'y a aucun fichier (à part le crack) qui puisse le réactiver dans ton cas.
9 Juillet 2008 13:30:56

Citation :
Déjà je suis un homme :D 

Genre :D  T'es même pas majeur!
a b 8 Sécurité
9 Juillet 2008 13:33:23

Citation :
Genre :D  T'es même pas majeur!

C'est vrai que toi tu l'es :o 
9 Juillet 2008 13:57:45

Re salut,

Merci pour toutes tes réponses, j'ai à peu près tout ce qu'il me faut.

A propos de ma GoogleToolbar et de ComboFix, honnêtement oui j'ai du utiliser ComboFix 3-4 fois depuis que je suis contaminée...

Pour le coup, si tu me dis que ma machine est clean, je vais arrêter de l'utiliser et je verrais bien si ma Toolbar repart ou veut bien rester...

Pour la restauration, c'est tout purgé. D'autre part, j'ai dégagé le crack ainsi que le logiciel dont je voulais me servir, donc pas de risque de ce côté.

Je n'ai pas eu d'alerte depuis hier, peut être est-ce bon cette fois!

Je pense que je vais encore lancer quelques scans en ligne, notamment ceux qui m'ont trouvé des trucs, histoire de voir ce que ça donne maintenant.

Merci pour ton aide, je reviens vers toi si mes log de scan antivirus en ligne donnent quelque chose de suspect !

PS : le "sûre et certaine" c'était parce que moi je suis une fille :) 
NB : je poste avec le login d'ecaheti mais ecaheti lui est un garçon :-p
a b 8 Sécurité
9 Juillet 2008 14:19:25

Citation :
A propos de ma GoogleToolbar et de ComboFix, honnêtement oui j'ai du utiliser ComboFix 3-4 fois depuis que je suis contaminée...

CF n'est pas un tool généraliste, il est même plutôt agressif.

Citation :
Je pense que je vais encore lancer quelques scans en ligne, notamment ceux qui m'ont trouvé des trucs, histoire de voir ce que ça donne maintenant.

Ouaip ;) 

Citation :
Merci pour ton aide, je reviens vers toi si mes log de scan antivirus en ligne donnent quelque chose de suspect !

No problem.

Citation :
PS : le "sûre et certaine" c'était parce que moi je suis une fille :) 
NB : je poste avec le login d'ecaheti mais ecaheti lui est un garçon :-p

Je peux pas deviner :D 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS