Se connecter / S'enregistrer
Votre question

virus Win32.Nsag.a et Win32.bagle.Ax@mm

Tags :
  • Windows XP
  • Sécurité
Dernière réponse : dans Sécurité et virus
23 Janvier 2007 16:56:53

Bonjour,
Dimanche, juste après avoir téléchargé les maj windows XP je me suis choppé plusieurs virus. A l'aide de divers scan j'ai réussi à en virer mais il me restait les 2 mentionnés en sujet.
J'ai refait un scan avec Bitdefender et j'ai pu localiser les virus dans ma partition de documents "D" où il n'y a aucun système. J'ai donc viré les doc en question et maintenant plus de trace de virus. Mais je reste perplexe!

1) comment se fait-il que des virus se placent dans cette partition que j'avais justement crée pour sauver mes documents en cas d'attaque
2) y-a t-il un lien avec le téléchargement des maj windows ou est-ce une coïncidence?
3) comment être sur qu'il n'y ait plus aucun risque auj, pas un petit vers qui va se réveiller....

Merci d'avance pour votre aide
Bonne soirée


Win32.Nsag.a et Win32.bagle.Ax@mm

Merci d'avance pour votre aide
bonne journée

Autres pages sur : virus win32 nsag win32 bagle

a b 8 Sécurité
23 Janvier 2007 18:07:10

Bonjour,

Ca sent le rootkit.

Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
Clique sur le premier " Download " afin de télécharger le programme
Sauvegarde le sur ton Bureau
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next.

A la fin du scan, NE TOUCHE A RIEN !

Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Nous devons analyser ce rapport, ferme donc le BlackLight.

Poste le rapport sur le forum.

AIDE : Tuto sur BlackLight (Malekal)
24 Janvier 2007 08:32:45

01/24/07 08:10:11 [Info]: BlackLight Engine 1.0.55 initialized
01/24/07 08:10:11 [Info]: OS: 5.1 build 2600 (Service Pack 1)
01/24/07 08:10:11 [Note]: 7019 4
01/24/07 08:10:11 [Note]: 7005 0
01/24/07 08:10:25 [Note]: 7006 0
01/24/07 08:10:25 [Note]: 7011 1744
01/24/07 08:10:25 [Note]: 7026 0
01/24/07 08:10:25 [Note]: 7026 0
01/24/07 08:10:25 [Note]: 7015 632
01/24/07 08:10:25 [Note]: 7015 5
01/24/07 08:10:25 [Note]: 7015 676
01/24/07 08:10:25 [Note]: 7015 5
01/24/07 08:10:43 [Note]: FSRAW library version 1.7.1021
01/24/07 08:14:08 [Note]: 2000 1012


Voici le rapport. Il me semble très court par rapport à ce que j'ai pu voir sur les autres sujets. Le scan aussi a été très rapide.
J'ai pourtant suivi la procédure à la lettre.
Merci pour votre aide et bonne journée
Contenus similaires
Pas de réponse à votre question ? Demandez !
a b 8 Sécurité
24 Janvier 2007 14:01:26

Re,

Rapport clean.

- Télécharge Hijackthis (de Merjin).
- Dézippe le dans un dossier ou sur ton bureau.

- Lance l'application.
- Choisis l'option "Do a system scan and save a logfile"
-- Le Bloc-Notes s'ouvre :
-> Edition / Sélectionner Tout
-> Edition / Copier
- Colle le rapport ici.

AIDE : Tuto sur Hijackthis (Malekal)
24 Janvier 2007 17:13:17

Logfile of HijackThis v1.99.1
Scan saved at 17:04:49, on 24/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Program Files\Dell\QuickSet\QuickSet.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
G:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = fti/tfyhp2h
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fnacphoto.com/ectelechargement/xupload/XUplo...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

a b 8 Sécurité
24 Janvier 2007 19:28:46

C'est OK.

Quels sont les fichiers détectés ?
24 Janvier 2007 19:55:26

Angeldark a dit :
C'est OK.

Quels sont les fichiers détectés ?



Désolée mais je ne comprends pas la question?

Par contre les 2 derniers virus détectés comme je le disais plus haut se situaient dans la partition "D" (les autres étaient eux dans C/system32 je crois...)comment est-ce possible? je pense qu'ils étaient dans des dossiers zipés.
Quand on partitionne le disque dur c'est bien pour éviter les attaques sur nos dossiers non?

Ca ne semble pas étrange ça?

En tout cas merci pour ton aide et bonne soirée




a b 8 Sécurité
24 Janvier 2007 20:08:51

Lors de la prochaine alerte.
Note l'emplacement du fichier.
12 Février 2007 12:46:17

Angeldark a dit :
Lors de la prochaine alerte.
Note l'emplacement du fichier.



Bonjour,

Bon il semblerait que depuis je n'ai pas de signe de virus et tant mieux!!!!! mais j'ai plusieurs dysfonctionnements quei m'interpelle.

1- je n'arrive plus à ouvrir live messenger ou même messenger tout court. J'ai même désinstallé et réinstallé, rien n'y fait

2- je n'arrive plus à acheter des billets en ligne par ex sur le site de la fnac. Il me met un message comme quoi je dois accepter les cookies. Mais d'une je n'ai rien fait pour les empêcher et de 2 j'essaie de baisser le niveau de sécurité de kaspersky mais rien n'y fait.

Si vous voyez d'où cela peut venir je suis à votre écoute.

Sinon j'envisage de résinstallé mon système mais là il y a toujours un risque!!! J'ai fait une image avec acronis mais je frémis toujours avant de faire ce genre de manip car j'ai déjà eu des mauvaises expériences avec ghost.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS