Infection Bagle.ic, Bagle.ie et Bagle.id. Que faire ? - Sécurité - Windows & Software
Marsh Posté le 21-02-2007 à 14:14:08
Salut.
Je connais un virus Bagle (w32.beagle.kf/Trojan.Tooso.R ) qui empêche le redémarrage en mode sans echec en effaçant des clés dans le registre car j'avais dépanné un collègue mais il y a des similitudes avec celui-là.
Essaie de suivre cette procédure : tout est expliqué dans le lien suivant : http://www.malekal.com//W32.Beagle [...] ooso.R.php
-télécharge blacklight car il y a de fortes chances que celui qui t'infecte soit aussi un rootkit
-télécharge elibagla : il est possible qu'il soit à jour et qu'il arrive à l'effacer.
-A la fin, tu a une méthode pour réparer le registre afin de pouvoir redémarrer en mode sans echec.
A+.
EDIT : je ne me souvenais plus, mais j'avais aussi dépanner un forumeur qui avait le même probleme d'impossibilté d'installer un antivirus (c'était justement le virus w32.beagle.kf/Trojan.Tooso.R): http://forum.hardware.fr/hfr/Windo [...] 4235_1.htm
Marsh Posté le 21-02-2007 à 14:15:29
Merci, je vais tester cela.
EDIT 1 :
Blacklight est en train d'analyser, cependant la version de Blacklight date du 27 décembre et le virus lui, date d'il y a deux jours. Mais bon je suppose que Bagle fonctionne toujours un peu de la même façon toute version confondue.
On verra bien...
EDIT 2 : l'analyse continue... 9 items found pour l'instant
EDIT 3 :
Ok analyse blacklight terminée : 9 items found :
Citation : |
et le log :
Citation : |
Marsh Posté le 21-02-2007 à 16:24:28
Bon alors ça va mieux.
J'ai fais des recherches sur hidr.exe et m_hook.sys. Ces deux trucs étaient liés à Bagle. Grâce à Blacklight, je les ai renommés et supprimés.
Je peux de nouveau faire tourner des antivirus sur ma machine.
J'ai installé Kaspersky (version d'évaluation) et je fais un scan complet de ma machine.
Mon ordinateur est à mon avis clean maintenant point de vue virus.
Mais j'ai une autre question. Il est très probable que les versions de Bagle que j'ai chopé ont modifiés des fichiers de windows et/ou des entrées dans la base de registre. Comment savoir ce qui a été affecté et comment les réparer ?
Merci.
Et que faire pour mon démarrage en mode sans échec ?
Marsh Posté le 21-02-2007 à 17:58:48
Citation : télécharge elibagla |
T'a éssayé? Il va peut-être te nettoyer le registre des quelques reliquats restants.
Téléchargez ELIBAGLA http://www.zonavirus.com/datos/des [...] ibagla.asp
en bas de la page, clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.
Double-cliquez dessus pour l'ouvrir
Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
Cliquez sur le bouton Explorar pour lancer l'analyse
I_have_a_big_problem a écrit : |
En effet, il peut être la source du problème, à toi de voir si tu veux le garder, essaie d'abord le 2/
1/ Si vous avez installé Daemon Tools ou Alcohol 120%.
Tentez de désinstaller ce dernier par ajout/suppression de programmes.
Téléchargez et excutez (pour les OS 32-bits) : http://www.duplexsecure.com/downlo [...] 39-x86.exe
Téléchargez et excutez (pour les OS 64-bits) : http://www.duplexsecure.com/downlo [...] 39-x64.exe
2/ Suite à une infection notamment W32.Beagle, certaines clefs nécessaires au mode sans échec de Windows peuvent avoir été supprimées.
Pour les rétablir :
Si vous êtes sous Windows XP SP2, Téléchargez et double-cliquez sur : http://www.malekal.com/download/SafeBoot.reg
Si vous êtes sous Windows XP SP1, Téléchargez et double-cliquez sur : http://www.malekal.com/download/SafeBoot-SP1.reg
Note :
- Si le fichier SafeBoot.reg s'ouvre sur le navigateur, faire un clic droit puis enregistrer la cible du lien sous
Marsh Posté le 21-02-2007 à 13:48:03
Bonjour.
Il y a deux jours, mon ordi a été contaminé par les virus suivants : Bagle.ic, Bagle.ie, Bagle.id (appellation kaspersky).
Je ne sais pas comment je les ai chopé car normalement ce sont des vers de mails, et je n'ai pas ouvert de mail, mais bon, passons.
Selon le site Viruslist ces trois virus sont datés du 18/02 ils sont donc de toutes nouvelles versions de Bagle. La caractéristique de Bagle est qu'il s'attaque aux antivirus (et laisse les données persos tranquilles apparemment).
Avast qui était ma protection résidente a perdu des fichiers essentiels a son bon fonctionnement dans la bataille. J'ai essayer d'installer pleins d'antivirus et de mises à jours windows mais cela s'avère impossible : le virus empêche systématiquement leur installation.
De plus je ne peux pas démarrer en mode sans échec (à mon avis ça n'a rien à voir avec le virus, j'ai lu qu'il y avait un problème de démarrage en mode sans échec avec alcohol 120%).
Les seuls trucs qui ont fonctionné sont :
-Spyware terminator (il a été reconnu clean après avoir été listé comme faut antispyware) qui a détecté l'une des versions de Bagle et l'a supprimée.
-Le scan de Kaspersky en ligne qui m'a détecté tous les virus que je cite, mais il s'avère qu'il ne pouvait pas les supprimer
-Le scan Bitdefender online qui a détecté des versions de Bagle et les a supprimée.
De plus j'ai supprimé à la main tous les fichiers que Kaspersky me détectait comme infectés (La suppression de tous ces fichiers n'affectait en rien le bon fonctionnement de mon ordi).
Le problème est maintenant le suivant :
-Le scan de Bitdefender en ligne considère mon PC comme clean
-Le scan de Kaspersky en ligne considère mon PC comme clean
-Pourtant il y a toujours un truc qui m'empêche d'installer les antivirus et les mises à jour Windows donc où se cache-t-il ?
Donc la question est que faire ?
Merci .
Edit :
Info qui peut avoir son importance sur la page de Kaspersky en ligne :
Avantages :
# Le taux exceptionnel de détection de Kaspersky Antivirus et son analyse exhaustive
# Des mises à jour horaires des bases antivirus, disponibles dès le lancement de Kaspersky On-line Scanner
# Une analyse heuristique pour la détection des virus inconnus
# Une installation facile (il suffit de cliquer sur un lien)
Le logiciel gratuit Kaspersky On-line Scanner n'analyse pas la mémoire RAM, les secteurs de démarrage et d'amorçage du système, et ne peut donc pas détecter la présence de code malveillant dans ces zones-là..
Message édité par I_have_a_big_problem le 21-02-2007 à 14:14:37