Worm Bagle gen-2

Worm Bagle gen-2 - Sécurité - Windows & Software

Marsh Posté le 23-07-2006 à 20:28:31    

Bonjour,
 
Mon frère hier a ouvert un mauvais e-mail, j'ai utilisé l'antivirus en ligne ça a détecté le ver Bagle gen-2, je pouvais pas le cleaner avec secuser j'avais simplement la possibilité de le supprimer ;  le problème c'est que le second PC à l'air aussi infecté :
 
MOn firewall ne s'allume pas, quand je l'execute ça fait une erreur "peut pas acceder au périphérique", quand je scan avec ad aware il trouve rien, AVG pareil, quand je veux updater AVG ça me fait une erreur, pareil pour a².
En mode sans echec mon fire wall s'allume, j'ai fait plusieurs scan mode sans ecehc, vidé les tempory files, je suis allé sur SOPHOS executé le fichier anti W32 baggle ...
 
Est ce que mon worm "Bagle gen-2" (dénomination affiché par secuser) est bien du type w32 Baggle.
De plus mon I.E ne marche plus sur le second PC je peux utiliser que MOzilla fire fox, du coup je peux pas faire le scan en ligne sans I.E ...
 
Bref j'aurais besoin d'aide !!!
merci !

Reply

Marsh Posté le 23-07-2006 à 20:28:31   

Reply

Marsh Posté le 23-07-2006 à 20:33:27    

Bonjour,
 
avant d'utiliser le fix de symatec, fais ceci s'il te plait:
 
telecharge la version original de hijackthis http://www.merijn.org/files/hijackthis.zip
 
déconnecte toi du net et installe le.
 
lance le en cliquant sur Do a system scan and save a logfile a la fin du scan le bloc note va s'ouvrir tu fais un copier coller de tout son contenu.

Reply

Marsh Posté le 23-07-2006 à 20:43:34    

Sérieux, vous en avez pas marre avec vos logs hijackthis quand y'a d'autres solutions beaucoup plus simples et rapide (et reproductible) pour tout le monde, vous avez a ce point besoin de vous sentir utile avec vos explications a suivre a la lettre qui laisent les mecs aussi démuni face au probleme qu'au départ ?  [:w3c compliant]  
 
Le fix symantec vire bel est bien cette variante, commençons donc par ça  :sarcastic:  
http://www.symantec.com/security_r [...] 16-0524-99


Message édité par El Pollo Diablo le 23-07-2006 à 20:45:50
Reply

Marsh Posté le 23-07-2006 à 20:51:44    

Salut et merci de me répondre aussi rapidement !
 
Alors voila ce que m'indique hijack :
 
Pour le fix symantec je l'ai fait avant et ça n'a rien trouvé, c'est pour ça je me demandait s'il s'agissait du bon fix ou pas  
 
 
 
 
Logfile of HijackThis v1.99.1
Scan saved at 20:48:10, on 23/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Rage3DTweak\RegTwk.exe
C:\WINDOWS\autoclk.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\Program Files\UltraEdit\uedit32.exe
C:\DOCUME~1\FRDRIC~1\LOCALS~1\Temp\ARC5\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://register.passport.net/reg.s [...] angid=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [RegTweak] C:\Program Files\Rage3DTweak\RegTwk.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Program Files\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] J:\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: gameutil.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 8073147234
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F06B4AD-1573-4C9C-AE0E-46C58B3D338E}: NameServer = 212.27.32.5,212.27.32.177
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F06B4AD-1573-4C9C-AE0E-46C58B3D338E}: NameServer = 212.27.32.177,213.228.0.212
O17 - HKLM\System\CS2\Services\Tcpip\..\{0F06B4AD-1573-4C9C-AE0E-46C58B3D338E}: NameServer = 212.27.32.5,212.27.32.177
O17 - HKLM\System\CS3\Services\Tcpip\..\{0F06B4AD-1573-4C9C-AE0E-46C58B3D338E}: NameServer = 212.27.32.5,212.27.32.177
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Reply

Marsh Posté le 23-07-2006 à 21:55:53    

re,
 
 
1/Télécharge http://www.ewido.net/en/download/ Ewido anti-spyware
 
Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
 
Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
 
Ferme Ewido. Ne pas le lancer tout de suite.
 
 
2/ demarre en mode sans echec  
 
 
3/ Du mode Sans Échec, lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan.  Le scan prendra un certain temps, donc sois patient.
 
Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
 
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
 
 
4/redemarre en mode normal
 
5/poste le rapport d'ewido.
 
bon courage, et si tu as la moindre question n'hesite surtout pas ;)
 
@+

Reply

Marsh Posté le 24-07-2006 à 00:46:00    

Cher Monsieur "El Pollo Diablo",
 

Citation :


Sérieux, vous en avez pas marre avec vos logs hijackthis quand y'a d'autres solutions beaucoup plus simples et rapide (et reproductible) pour tout le monde, vous avez a ce point besoin de vous sentir utile avec vos explications a suivre a la lettre qui laisent les mecs aussi démuni face au probleme qu'au départ ?    
 
Le fix symantec vire bel est bien cette variante, commençons donc par ça    
http://www.symantec.com/security_r [...] 16-0524-99


 
    Je vous rejoins totalement en ce qui concerne le fix symantec qui corrige bel et bien l'infection concernée !
 
    Par ailleurs, il faut tout de même reconnaître que le log HijackThis permet, dans presque tous les cas, de déceler la présence d'autres infections. Si nous voulons faire un travail complet et efficace, il me semble que la demande d'un rapport relativement complet n'est pas superflue.  
 
    Il est excessivement rare de ne trouver qu'un seul malware sur une machine !
 
    En outre, éthiquement parlant, il m'est assez désagréable de promouvoir une société comme celle-là, dont les produits sont vraiment légers en comparaison à leurs prix.  
 
    Rappelons que les excellents softs de "Sysinternals" sont gratuits, que le tout bon "SmitFraudFix" également et que "Merijn" propose aussi des produits puissants et ... GRATUITS !
 
 
    Il s'agit là d'un avis, je suis ouvert à toute discussion...


Message édité par CleanDows le 24-07-2006 à 00:46:57
Reply

Marsh Posté le 24-07-2006 à 00:50:21    

CQFD, y'en a qui se prennent un tout petit peu trop au sérieux dans leur role de pourfendeur de logs sans peur et sans reproche, et qui devrait plutot essayer de réflechir un peu a long terme :o

Reply

Marsh Posté le 24-07-2006 à 02:20:19    

    Le long terme est-il dans le fait de laisser les utilisateurs appliquer des fixs sans aucun contrôle (ni apprentissage) de ce qui se trame derrière une interface conçue pour engendrer des revenus ?
 
     Dans une optique de consommation propre à notre époque, je comprends bien votre point de vue, sans toutefois y adhérer...
 
     Une excellente nuit à tous les lecteurs tardifs de HFR !

Message cité 1 fois
Message édité par CleanDows le 24-07-2006 à 02:21:00
Reply

Marsh Posté le 24-07-2006 à 19:54:32    

Salut, donc j'ai suivi les conseil de bruce lee, j'ai lancé edigo comme tu l'as dit, il ma trouvé plein de cookie mais aucun virus ...
 
quand je lance une apply ça me fait une erreur du type : "spy.dll" fichier manquant etc

Reply

Marsh Posté le 24-07-2006 à 20:43:19    

re,
 
Fais un scan en ligne avec http://webscanner.kaspersky.fr/
 
Sous Démonstration en ligne , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner Exécuter l'analyse en ligne .Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .
Le scan va commencer.Poste le rapport qui sera généré stp.
 
Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme
 
décrit sur ce lien=> http://www.inoculer.com/activex.php3
 
NOTE: le scan est a faire avec Internet Explorer
 
@+

Reply

Marsh Posté le 24-07-2006 à 20:43:19   

Reply

Marsh Posté le 24-07-2006 à 20:50:06    

CleanDows a écrit :

Le long terme est-il dans le fait de laisser les utilisateurs appliquer des fixs sans aucun contrôle (ni apprentissage) de ce qui se trame derrière une interface conçue pour engendrer des revenus ?
 
     Dans une optique de consommation propre à notre époque, je comprends bien votre point de vue, sans toutefois y adhérer...
 
     Une excellente nuit à tous les lecteurs tardifs de HFR !


+1 pollo diablo, ras le bol des logs hijackthis...
 
Enfin, à propos du "sans apprentissage" des produits Norton, suivre bêtement des instructions de désinfection sur un forum sans rien comprendre c'est pas beaucoup mieux, hein... Si ça se reproduit un poil de manière différente, le mec sera tout aussi perdu et reviendra poster ici en pleurant... :/


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed