VIrus trojan bagle r - Sécurité - Windows & Software
Marsh Posté le 02-06-2006 à 10:16:27
Bonjour.
* Télécharge et installe F-Secure Blacklight
http://www.europe.f-secure.com/exc [...] blbeta.exe
Installe le a la racine de C:.
* Double clique sur le fichier blbeta.exe
Accepte la licence puis clique enfin sur Scan
* Copie le contenu du log qui sera généré.
Marsh Posté le 02-06-2006 à 11:09:24
Voilà ce que ça donne
06/02/06 10:50:31 [Info]: BlackLight Engine 1.0.37 initialized
06/02/06 10:50:31 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/02/06 10:50:32 [Note]: 7019 4
06/02/06 10:50:32 [Note]: 7005 0
06/02/06 10:59:22 [Note]: 7006 0
06/02/06 10:59:22 [Note]: 7011 1260
06/02/06 10:59:23 [Note]: 7026 0
06/02/06 10:59:23 [Note]: 7026 0
06/02/06 10:59:32 [Note]: FSRAW library version 1.7.1015
06/02/06 11:01:48 [Info]: Hidden file: c:\WINDOWS\system32\msacm32.dìl
06/02/06 11:01:48 [Note]: 7002 0
06/02/06 11:01:48 [Note]: 7003 1
06/02/06 11:01:48 [Note]: 10002 1
06/02/06 11:01:49 [Info]: Hidden file: c:\WINDOWS\system32\msacm32.drv
06/02/06 11:01:49 [Note]: 7002 0
06/02/06 11:01:49 [Note]: 7003 1
06/02/06 11:01:49 [Note]: 10002 1
06/02/06 11:04:18 [Note]: 7007 0
et le log du test en ligne de Panda
Virus:Trj/Mitglieder.HA Désinfecté Dossiers personnels\Éléments supprimés\Christean\Bennet.zip[Foto_2315.exe]
Virus:Eicar.Mod Renommé C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\eicar.html
Virus:W32/Bagle.JG.worm Désinfecté C:\WINDOWS\system32\hldrrr.exe
Marsh Posté le 02-06-2006 à 17:44:42
Bonjour.
* S'assurer que tout les fichiers soient la :
Ouvre le poste de travail ou l'Explorateur Windows (ce que vous utilisez d'habitude pour visiter vos fichiers).
Menu "Outils" -> "Options des Dossiers..." -> Onglet "Affichage".
Vous trouverez ces réglages dans le cadre "Paramètres avancés" :
- Fichiers et dossiers cachés : cochez "Afficher les fichiers et dossiers cachés"
- Décochez "Masquer les extensions des fichiers dont le type est connu"
- Décochez "Masquer les fichiers protégés du système d'exploitation", à la demande de confirmation répondez "Oui"
* Supprime les fichiers en gras ci dessous :
c:\WINDOWS\system32\ msacm32.dìl <= Le fichier
c:\WINDOWS\system32\ msacm32.drv <= Le fichier
C:\WINDOWS\system32\ hldrrr.exe <= Le fichier
* Télécharge et installe HijackThis :
http://www.merijn.org/files/hijackthis.zip
* Ferme toutes les applications en cours sauf Hijackthis.
* Lance Hijackthis [ le logo avec la dynamite ]
* Choisir Do a system scan and save logfile
* Le bloc - note s'ouvrira puis fais un copier - coller de tout le contenu du bloc note ici
Marsh Posté le 02-06-2006 à 18:20:17
Pour le fichier hldrrr, il n'y est plus
Pour les autres, windows refuse que je les supprime.
Il y a un fichier msacm32 sans extension, et un fichier .dil en plus du dll.
Marsh Posté le 02-06-2006 à 18:25:37
* Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip
Place le programme dans le répertoire qui te plaît (pas d'installation Windows)
* Lance Pocket Killbox
--- choisis l'option Delete on Reboot
--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard
c:\WINDOWS\system32\ msacm32.dìl <= Le fichier
c:\WINDOWS\system32\ msacm32.drv <= Le fichier
C:\WINDOWS\system32\ hldrrr.exe <= Le fichier
* Clique sur All Files.
* Clique sur la croix blanche sur fond rouge (Delete File) :
- File will be Removed on Reboot, Do you want to reboot now? réponds OUI si tu es prêt à procéder
Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.
Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm
Marsh Posté le 02-06-2006 à 18:43:17
il m'est impossible de coller la liste complète des fichiers (qd je fais paste, rien n'apparait dans la ligne de commande). Je peux redémarrer 3 fois ?
Marsh Posté le 02-06-2006 à 21:34:48
* Télécharge la dernière version de PocketKillbox :
http://www.downloads.subratam.org/KillBox.zip
-Redémarre en mode sans échec pour ne pas être gêné par un résident.
* Lance Pocketkillbox,choisis l'option Delete on reboot
Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :
:\WINDOWS\system32\ msacm32.dìl
- Cliquer sur la croix blanche sur fond rouge:
« File will be Deleted on Next Reboot » répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI
* Refais de meme avec les fichiers ci dessous :
c:\WINDOWS\system32\ msacm32.drv
C:\WINDOWS\system32\ hldrrr.exe
Marsh Posté le 03-06-2006 à 13:09:12
Voici le log
Logfile of HijackThis v1.99.1
Scan saved at 13:06:40, on 03/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\PowerArchiver\POWERARC.EXE
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Kaspersky Anti-Virus Monitor.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://I:\content\include\XPPatchInstaller.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Marsh Posté le 03-06-2006 à 13:40:36
Bonjour.
Ton log est propre.
* Télécharger et installer EasyCleaner de Toni Helenius
http://personal.inet.fi/business/toniarts/ecleane.htm
* Exécuter EasyCleaner (Utiliser le raccourci sur le bureau) :
Utiliser les fonctions Inutiles et Registre seulement. Ne pas toucher à la fonction Doublons.
* Remarque:
- Dans Inutiles, cochez les cases suivantes => Normal Types - Temp Directories - Temp Internet Files -
Browser Cookies puis clique sur Find.
Lorsque le scan est terminé, cliquez sur Delete all.
* Télécharger et installer :
- Ewido http://www.ewido.net/fr/download/
* Durant l'installation
* Sur la page Additional Options
* Décoche Install background guardet et Install scan via context menu
* Lance Ewido Security Suite. Clique sur Mise à jour .
* Faire un scan avec Ewido
* Clique sur Scanner et choisir Scan complet du système
* Si des fichiers infectés sont trouvés, toujours les supprimer
* Le scan fini, sauver le rapport et le postez ici.
Marsh Posté le 03-06-2006 à 17:17:11
Il n'a rien trouvé, seulement des cookies.
Je dois être débarassé.
Merci pour ton aide!
Marsh Posté le 03-06-2006 à 18:49:37
* Fais un scan en ligne avec Panda : http://www.pandasoftware.com/activ [...] ncipal.htm
Apres, colle le rapport ici.
Marsh Posté le 03-06-2006 à 19:58:06
tout ce que j'ai c'est :
Virus:Eicar.Mod Renommé C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\eicar_html.vir
Marsh Posté le 03-06-2006 à 21:12:01
Non plus rien.
Mais je peux mettre à la poubelle mon Kasperky 4.5 malgré les mises à jour quasi quotidiennes.
Marsh Posté le 03-06-2006 à 21:17:47
Content que ton probleme soit resolu.
Pourquoi veux te desinstaller Kaspersky alors que c'est l'un des meilleurs ??
Marsh Posté le 03-06-2006 à 21:35:36
Il n'a pas été capable de supprimer mes virus.
Par contre sur mon autre PC également infecté, j'ai le 5, lui a réussi. Mais vu ce qu'il consomme, mon 1 Ghz va être à la peine...
Marsh Posté le 03-06-2006 à 21:41:46
Re.
D'accord. Par contre, garde toujours un antivirus sur ton Pc.
Marsh Posté le 04-06-2006 à 11:46:45
Je suis tenté par NOD32
Par contre mon pc refuse maintenant de démarrer en mode sans échec.
Marsh Posté le 04-06-2006 à 14:38:19
Re.
Suis ce lien pour redemarrer en mode sans echec :
http://perso.wanadoo.fr/jesses/Doc [...] sEchec.htm
Marsh Posté le 02-06-2006 à 10:01:10
Hello
Depuis quelques jours, j'ai sur mon PC un virus Bagle R d'après Kaspersky 4.5
Des processus "hlrrr" se lancent au démarrage.
J'ai passé Baglegui trouvé sur Secuser, rien détecté.
Kaspersky trouve des virus, il les détruit, mais au redémarrage ils reviennent, il les retrouve, les redétruit...
J'ai tenté de démarrer en mode sans échec, impossible : le pc redémarre au bout de quelques secondes.
Que faire ?