Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
981 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Infection Bagle.ic, Bagle.ie et Bagle.id. Que faire ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Infection Bagle.ic, Bagle.ie et Bagle.id. Que faire ?

n°2646107
I_have_a_b​ig_problem
Posté le 21-02-2007 à 13:48:03  profilanswer
 

Bonjour.  
Il y a deux jours, mon ordi a été contaminé par les virus suivants : Bagle.ic, Bagle.ie, Bagle.id (appellation kaspersky).
Je ne sais pas comment je les ai chopé car normalement ce sont des vers de mails, et je n'ai pas ouvert de mail, mais bon, passons.  
Selon le site Viruslist ces trois virus sont datés du 18/02 ils sont donc de toutes nouvelles versions de Bagle. La caractéristique de Bagle est qu'il s'attaque aux antivirus (et laisse les données persos tranquilles apparemment).
 
Avast qui était ma protection résidente a perdu des fichiers essentiels a son bon fonctionnement dans la bataille. J'ai essayer d'installer pleins d'antivirus et de mises à jours windows mais cela s'avère impossible : le virus empêche systématiquement leur installation.  
De plus je ne peux pas démarrer en mode sans échec (à mon avis ça n'a rien à voir avec le virus, j'ai lu qu'il y avait un problème de démarrage en mode sans échec avec alcohol 120%).
 
Les seuls trucs qui ont fonctionné sont :
-Spyware terminator (il a été reconnu clean  :jap:  après avoir été listé comme faut antispyware) qui a détecté l'une des versions de Bagle et l'a supprimée.
-Le scan de Kaspersky en ligne qui m'a détecté tous les virus que je cite, mais il s'avère qu'il ne pouvait pas les supprimer
-Le scan Bitdefender online qui a détecté des versions de Bagle et les a supprimée.
 
De plus j'ai supprimé à la main tous les fichiers que Kaspersky me détectait comme infectés (La suppression de tous ces fichiers n'affectait en rien le bon fonctionnement de mon ordi).
 
Le problème est maintenant le suivant :
-Le scan de Bitdefender en ligne considère mon PC comme clean  :jap:  
-Le scan de Kaspersky en ligne considère mon PC comme clean  :jap:  
-Pourtant il y a toujours un truc qui m'empêche d'installer les antivirus et les mises à jour Windows donc où se cache-t-il ?  :cry:  
 
Donc la question est que faire ?
Merci  :bounce: .
 
Edit :
Info qui peut avoir son importance sur la page de Kaspersky en ligne :
 

Citation :


Avantages :
# Le taux exceptionnel de détection de Kaspersky Antivirus et son analyse exhaustive
# Des mises à jour horaires des bases antivirus, disponibles dès le lancement de Kaspersky On-line Scanner
# Une analyse heuristique pour la détection des virus inconnus
# Une installation facile (il suffit de cliquer sur un lien)

Le logiciel gratuit Kaspersky On-line Scanner n'analyse pas la mémoire RAM, les secteurs de démarrage et d'amorçage du système, et ne peut donc pas détecter la présence de code malveillant dans ces zones-là..


Message cité 1 fois
Message édité par I_have_a_big_problem le 21-02-2007 à 14:14:37
mood
Publicité
Posté le 21-02-2007 à 13:48:03  profilanswer
 

n°2646155
fal_du31
Posté le 21-02-2007 à 14:14:08  profilanswer
 

Salut.
Je connais un virus Bagle (w32.beagle.kf/Trojan.Tooso.R ) qui empêche le redémarrage en mode sans echec en effaçant des clés dans le registre car j'avais dépanné un collègue mais il y a des similitudes avec celui-là.
Essaie de suivre cette procédure : tout est expliqué dans le lien suivant : http://www.malekal.com//W32.Beagle [...] ooso.R.php
-télécharge blacklight car il y a de fortes chances que celui qui t'infecte soit aussi un rootkit
-télécharge elibagla : il est possible qu'il soit à jour et qu'il arrive à l'effacer.
-A la fin, tu a une méthode pour réparer le registre afin de pouvoir redémarrer en mode sans echec.
A+.
EDIT : je ne me souvenais plus, mais j'avais aussi dépanner un forumeur qui avait le même probleme d'impossibilté d'installer un antivirus (c'était justement le virus w32.beagle.kf/Trojan.Tooso.R): http://forum.hardware.fr/hfr/Windo [...] 4235_1.htm


Message édité par fal_du31 le 21-02-2007 à 14:19:02
n°2646158
I_have_a_b​ig_problem
Posté le 21-02-2007 à 14:15:29  profilanswer
 

Merci, je vais tester cela.
EDIT 1 :
Blacklight est en train d'analyser, cependant la version de Blacklight date du 27 décembre et le virus lui, date d'il y a deux jours. Mais bon je suppose que Bagle fonctionne toujours un peu de la même façon toute version confondue.
On verra bien...
 
EDIT 2 : l'analyse continue... 9 items found pour l'instant
 
EDIT 3 :
Ok analyse blacklight terminée : 9 items found :
 

Citation :


Blank.txt
Empty.txt
Filters.xml
hidr.exe
m_hook.sys
news.png
paint.png
sample1.jpg
sample2.jpg


 
et le log :

Citation :


02/21/07 14:38:16 [Info]: BlackLight Engine 1.0.55 initialized
02/21/07 14:38:16 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/21/07 14:38:16 [Note]: 7019 4
02/21/07 14:38:16 [Note]: 7005 0
02/21/07 14:38:21 [Note]: 7006 0
02/21/07 14:38:21 [Note]: 7011 1760
02/21/07 14:38:21 [Note]: 7026 0
02/21/07 14:38:21 [Note]: 7026 0
02/21/07 14:38:55 [Note]: FSRAW library version 1.7.1021
02/21/07 14:39:09 [Info]: Hidden file: c:\Documents and Settings\ARV\Application Data\hidires\hidr.exe
02/21/07 14:39:09 [Note]: 10002 2
02/21/07 14:39:09 [Info]: Hidden file: c:\Documents and Settings\ARV\Application Data\hidires\m_hook.sys
02/21/07 14:39:09 [Note]: 10002 2
02/21/07 14:39:10 [Note]: 10002 3
02/21/07 14:39:10 [Note]: 10002 3
02/21/07 14:39:10 [Note]: 10002 2
02/21/07 14:39:10 [Note]: 10002 2
02/21/07 14:41:57 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
02/21/07 14:41:57 [Note]: 10002 3
02/21/07 14:41:57 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
02/21/07 14:41:57 [Note]: 10002 3
02/21/07 14:41:57 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png
02/21/07 14:41:57 [Note]: 10002 3
02/21/07 14:41:57 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
02/21/07 14:41:57 [Note]: 10002 3
02/21/07 14:41:57 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
02/21/07 14:41:57 [Note]: 10002 3
02/21/07 14:41:57 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
02/21/07 14:41:57 [Note]: 10002 3
02/21/07 14:41:57 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
02/21/07 14:41:57 [Note]: 10002 3
02/21/07 14:41:57 [Note]: 10002 2
02/21/07 14:41:57 [Note]: 10002 2
02/21/07 14:47:24 [Note]: 10002 2
02/21/07 14:47:24 [Note]: 10002 2


Message édité par I_have_a_big_problem le 21-02-2007 à 15:06:48
n°2646297
I_have_a_b​ig_problem
Posté le 21-02-2007 à 16:24:28  profilanswer
 

Bon alors ça va mieux.
J'ai fais des recherches sur hidr.exe et m_hook.sys. Ces deux trucs étaient liés à Bagle. Grâce à Blacklight, je les ai renommés et supprimés.
Je peux de nouveau faire tourner des antivirus sur ma machine.
J'ai installé Kaspersky (version d'évaluation) et je fais un scan complet de ma machine.
Mon ordinateur est à mon avis clean maintenant point de vue virus.
 
Mais j'ai une autre question. Il est très probable que les versions de Bagle que j'ai chopé ont modifiés des fichiers de windows et/ou des entrées dans la base de registre. Comment savoir ce qui a été affecté et comment les réparer ?
Merci.
 
Et que faire pour mon démarrage en mode sans échec ?

n°2646387
fal_du31
Posté le 21-02-2007 à 17:58:48  profilanswer
 

Citation :

télécharge elibagla


T'a éssayé? Il va peut-être te nettoyer le registre des quelques reliquats restants.
 
Téléchargez ELIBAGLA  http://www.zonavirus.com/datos/des [...] ibagla.asp  
en bas de la page, clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.
Double-cliquez dessus pour l'ouvrir
Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
Cliquez sur le bouton Explorar pour lancer l'analyse

I_have_a_big_problem a écrit :


De plus je ne peux pas démarrer en mode sans échec (à mon avis ça n'a rien à voir avec le virus, j'ai lu qu'il y avait un problème de démarrage en mode sans échec avec alcohol 120%).


En effet, il peut être la source du problème, à toi de voir si tu veux le garder, essaie d'abord le 2/
1/ Si vous avez installé Daemon Tools ou Alcohol 120%.  
Tentez de désinstaller ce dernier par ajout/suppression de programmes.  
Téléchargez et excutez (pour les OS 32-bits) : http://www.duplexsecure.com/downlo [...] 39-x86.exe  
Téléchargez et excutez (pour les OS 64-bits) : http://www.duplexsecure.com/downlo [...] 39-x64.exe  
 
2/ Suite à une infection notamment W32.Beagle, certaines clefs nécessaires au mode sans échec de Windows peuvent avoir été supprimées.  
Pour les rétablir :  
Si vous êtes sous Windows XP SP2, Téléchargez et double-cliquez sur : http://www.malekal.com/download/SafeBoot.reg  
Si vous êtes sous Windows XP SP1, Téléchargez et double-cliquez sur : http://www.malekal.com/download/SafeBoot-SP1.reg  
 
Note :  
- Si le fichier SafeBoot.reg s'ouvre sur le navigateur, faire un clic droit puis enregistrer la cible du lien sous


Message édité par fal_du31 le 21-02-2007 à 18:00:25

Aller à :
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Infection Bagle.ic, Bagle.ie et Bagle.id. Que faire ?

 

Sujets relatifs
InfectionInfection virale, besoin d'un petit coup de main
Infection de mon portablelien google référant à des faux sites tout le temps (infection?)
infection par des pubsinfection : plus de mse, impossible d'installer d'antivirus
[infection] Spam ?? Besoin d'aide, urgent !![RESOLU] Infection Trojan.adload.MAS
infection par win32:Horst trop Galère !Infection par Adware.virtumonde
Plus de sujets relatifs à : Infection Bagle.ic, Bagle.ie et Bagle.id. Que faire ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR