|
|
|
Publicité ' | |||||||||||||||||||||||
18/05/2008, 19h17
|
#1 |
|
Membre régulier
  Inscription : novembre 2003 Messages : 143  |
W32/Bagle.gen virus :-(
Salut tout le monde,
Tout d'abord, je ne sais pas si c'est l'endroit pour poster mon message ou pas mais vu mon état actuel, je vous prie d'être compréhensifs. Voila comme l'indique le titre de ce post, mon Win XP Media Center 2005 version 5.1, a été infecté par un W32/Bagle.gen qui a réussi à briser toutes les défenses McAfee 2008 retail. Aucune application du style Spyhunter ou encore Ad Aware n'a permis de déloger ce virus en plus du fait que ce virus ne permet pas l'installation de certains programmes comme Spy Doctor ou SpyBot, après installation le démarrage de ces programmes provoque une erreur avec un message du style : ceci n'est pas une application win32 valide !!! Une autre particularité du W32/Bagle.gen c'est de désactiver l'antivirus installé et d'empêcher sa désinstallation ou l'installation de tout autre antivirus. Pour mon cas, le McAfee me signale que mon ordinateur n'est pas correctement protégé et pas moyen de désinstaller ce McAfee puisque d'une part il ne figure plus dans le liste Ajout/suppression de programmes et d'autre part l'outil que propose gratuitement McAfee qui est appelé MCPR.exe et qui est sensé désinstallé de force tout le McAfee, ne réussi pas à le faire, il produit un message d'erreur qui témoigne de la puissance du W32/Bagle.gen... Le message est le suivant : Code :
CLEANUP FAILED - Cleanup is already running !!! Le W32/Bagle.gen empêche également la réparation du Win XP. En bootant sur le CD de Win XP, le chargement des fichiers commence normalement et se termine par un message d'erreur écris en blanc sur fond bleu (vous voyez le genre). En plus, j'ai essayé comme dernier recours, un upgrade de Win XP... L'upgrade n'a aucunement résolu le problème, le virus est toujours là par contre j'ai perdu toutes les mises à jours Win XP (mises à jour qui remontent à au moins une année et demi), j'ai retrouvé alors l'interface basique du Media Center avec IE 6 et Media player 10, etc. Je ne vous cache pas qu'à ce stade, je n'ai plus confiance en moi quant à la décision à prendre, c'est pour cette raison que je suis sur le developpez. En fait, je projette de tout formater à l'ancienne méthode autrement dit un bon vieux à partir de l'invite de commande puis un boot sur le CD Win XP pour tout réinstaller sachant que je commencerai par sauvegarder tout mes fichiers sur un DD externe vu que j'accède encore à l'interface de windows [ce qui est quasiment le seul point positif avec ce virus]. J'arrive donc à ma question : Ce plan est il bon ? ou est ce que quelqu'un propose un truc meilleur ? Personnellement, je ne vois aucune autre alternative  mais qui sait...Merci. |
|
00
|
|
19/05/2008, 13h37
|
#2 |
|
Membre éprouvé
 
Enseignant Inscription : avril 2004 Messages : 431 |
désinfection Bagle
Avant d'arriver à cette solution, essaie le logiciel utilisé pour ce virus dans les forums : EliBagla
téléchargement en bas de page : descargar Tu trouveras certainement un tuto sur Internet Ce genre d'infection peut être effectivement assez coriace. Si tu utilises cet outil, il te faudra plusieurs fois le passer. cela ne te coute rien d'essayer. Essaie en mode sans échec, sinon tu le passes en mode normal. Mais attention car si le fichier safeboot est touché, tu n'auras plus accès au mode sans échec. N'insiste pas car sinon ton PC va faire des redémarrages en boucle. Autre chose, si tu sauvegardes tes fichiers sur DD externe, il est probable qu'une partie de ces fichiers soit infecté. Pour les mises à jour de XP, le SP3 reglera le problème. tiens nous au courant. salut 
|
|
|
00
|
|
20/05/2008, 00h32
|
#3 | ||
|
Membre régulier
Inscription : novembre 2003 Messages : 143 |
Salut rlgrand,
A vrai dire ta solution semble fonctionner parfaitement. Franchement je suis bluffé. Pour dire toute la vérité, j'ai passé maintenant plus de 36 heures sans dormir  et je ne suis pas dans un état pour certifier l'élimination complète du problème, par contre voila les dernières lignes du fichier généré par EliBagle :Code :
Là je peux dire que je vais passer une nuit tranquille  Demain je vais essayer de remettre mon système à jour pour voir et je te tiendrai au courant. Par contre, est ce qu'un repair de win XP est conseillé dans mon cas [boot sur CD win XP | choix de partition | Repair]??? Parce que je ne te cache pas qu'il y a eu pas mal de chamboulent depuis l'infection !!! Un grand merci 
|
||
|
|
00
|
|
20/05/2008, 07h48
|
#4 |
|
Membre éprouvé
Enseignant Inscription : avril 2004 Messages : 431 |
Bonjour, Leishmaniose
Peux-tu me poster l'ensemble du rapport que je jete un coup d'oeil ? Je te conseillerais un autre outil pour vérification. Effectivement, le Bagle doit être éliminé ( les drivers du rootkit ont été néttoyés ). Il serait bon de vérifier si il n'y a pas d'autres infections. Tu pourrais faire un scan en ligne ( kaspersky, Bit defender ou un autre ). Autre chose, désactive les points de restauration puis réactive les; Tu créeras un point de restauration propre. Important. Salut et bonne journée. 
|
|
|
00
|
|
20/05/2008, 22h33
|
#5 | ||
|
Membre régulier
Inscription : novembre 2003 Messages : 143 |
Salut,
Voila le contenu complet du fichier C:\InfoSat.txt généré par EliBagle à la fin du scan de mon PC Code :
J'attends tes conseils pour le check up complet de mon PC... Encore un grand merci - t'es vraiment un @+ |
||
|
|
00
|
|
20/05/2008, 23h51
|
#6 |
|
Membre éprouvé
Enseignant Inscription : avril 2004 Messages : 431 |
Salut, Leishmaniose
L'explication pour ton PC qui tournait comme un moulin en folie : Bagle avait infecté IAANOTIF.EXE, procesus d'intel : Tu as été perspicace et je te comprends. On est vener dans ce cas.  Chanceux aussi car il est rare que cet outil suffise à lui seul. ce virus se propage de deux manieres : par email ou en téléchargeant des cracks par P2P. C'est même cette deuxième manière qui est la plus courante. As-tu ouvert un message sans objet avec un corps de message très simple, du genre "texte" ou "thank you !!!Passwrd:" ? Si tu le retrouves dans ta messagerie, supprime-le. Sinon, si tu as des cracks, je te conseille de les supprimer au plus vite. C'est vrai que si tu trouves les infos pour remettre à plat ton PC, la question du nettoyage ne se pose pas. Sinon, on va faire les différentes choses suivantes : - le point de restauration, tu l'as fait ? - commencer par les sécurités ( antivirus, parefeu, antispyware ). Un gros cadenas peut aussi être envisagé. - vérifier si il n'y a pas d'autres infections. Il y aura plusieurs rapports à poster. Prescription du médecin : cure de sommeil et vitamines.  - restaurer les paramètres de la BDR, elle a été modifiée sans doute. - nettoyage en profondeur : tu dois connaitre ces outils. Ou bien eau de javel et huile de coude. - ... On en discutera au fur et a mesure. J'imagine que tu n'es pas manchot. Excuse pour le jeu de maux. Commençons par ton antivirus. Comment va ton ami Macaffe ? Il fait quoi au juste. Antivirus et ??? Pour les protections, As-tu ce qu'il te faut ? Parefeu, antispyware ( real time ? ). Sinon, pour commencer, et si tu le désires ( ou en MP ), poste moi un rapport de Hijackthis : scan et logfile. L'analyse dira si d'autres infections sont visibles. A+
|
|
|
00
|
|
21/05/2008, 14h44
|
#7 | |
|
Membre Expert
  
Inscription : juin 2006 Messages : 889 |
Citation:
, javais jamas vu cette version de bagle avec rootkit sous forme de driver en plus ...wouaaaaaaaaaaououoow!
|
|
|
|
00
|
|
21/05/2008, 16h20
|
#8 |
|
Membre éprouvé
Enseignant Inscription : avril 2004 Messages : 431 |
salut,
je pense que ce n'est pas trop compliqué de trouver ça. Tu télécharges un crack de logiciel par P2P. Tu finiras bien par avoir ce genre de M.... Après, c'est risqué car la désinfection peut être très compliqué. Comme disait leshmanoise, plus d'antivirus, le mode sans échec sans doute out, voir même l'outil utilisé qu'il faut renommer pour éradiquer le bagle. Et il y a encore d'autres surprises.  Ca me tente moyennement. 
|
|
|
00
|
|
21/05/2008, 22h38
|
#9 | ||
|
Membre régulier
Inscription : novembre 2003 Messages : 143 |
Salut,
Bon tout d'abord, mia coulpa  Je me suis fait comme un rat !!! Mais ça c'est la fatigue... D'ailleurs je l'avoue, en plus d'avoir infecter mon PC en installant moi même un virus dessus, j'ai terminé par casser toute ma piole à cause de cette énorme bêtise En effet, mon bagle est un crack que j'ai eu via le e-mule (p2p par excellence... quoi que !!!). Ce n'est pas parce que je suis un fun des cracks qui plus est, la licence du programme en question ne coûte en tout que 11 € ! Le seul truc qui m'importait à ce moment c'était de dormir un peu (après 2 nuits blanches, c'est normal) et je voulais laisser ce programme tourner avant d'aller me coucher et vu mon état, j'ai cru comprendre que la licence sera envoyée après 24 h du payement, du coup je me suis tourné vers le crack... En plus, et à ma grande surprise, après le constat de l'infection, j'ouvre ma boîte e-mail pour trouver la licence authentique que je viens d'acheter et qui m'a été livré tout de suite après le virement... ==> J'ai raté une bonne nuit de sommeil. ==> J'ai foiré mon PC en installant un crack pendant que l'original était dans ma boîte mail !!! du coup j'ai cassé ma piole vu que j'étais  Moralité : "Se coucher tard... Nuit !" Raymond DEVOS Çà, c'était pour la mia coulpa. Bon, j'ai fait un scan avec registrybooster que j'ai trouvé sur le lien proposé par rlgrand et qui est le suivant : Code :
http://www.processlibrary.com/fr/dir...files/iaanotif 610 entrées de registre invalides Encore pas moyen de réinstallé McAfee Security Center 2008 retail 250 erreurs de registres corrigés avec Registry Mechanic de PCTools ce qui est très loin des 610 entrées invalides détectés par RegistryBooster Voila le log produit par HijackThis... Code :
Je ne sais pas encore, mais j'ai appris une chose... il faut prendre des décisions lorsqu'on est calme, du coup je me laisse le temps jusqu'à la fin de cette semaine avant de décider définitivement du sort de mon PC... J'attends vos feedback avec impatience, et encore merci, modèle géant ! @+ |
||
|
|
00
|
|
22/05/2008, 00h45
|
#10 | ||
|
Membre éprouvé
Enseignant Inscription : avril 2004 Messages : 431 |
Bonjour, Leshmanoise
On va continuer à nettoyer ton PC avant que tu ne prennes ta décision. Ce n'est pas les ressources qui manque et la démarche ne peut pas faire de mal. L'homme n'est-il pas un extraterrestre !!! Tu décides. Installes Antivir provisoirement. Ce n'est pas méchant de ma part, mais il y aura encore des mauvaises nouvelles. Tu vas scanner le fichier iaanotify.exe sur le site virustotal, de confiance. il est utilisé sur les forums : Citation:
C'est un fichier natif d'intel. Pour info, il t'aurait été impossible de sortir un rapport Hijackthis tant que le virus n'était pas viré. Il y a d'autres M... sur ton PC. Citation:
Je regarde plus attentivement ton rapport demain. Mais, tu peux déjà passer SDFix. http://www.malekal.com/tutorial_SDFix.php En gros, voila ce qu'il fait : Checking Services, Restoring Windows Registry Values, Restoring Windows Default Hosts File, Restoring Missing Security Center Service, Restoring Missing SharedAccess Service Rebooting... Service axxxxxx - Deleted after Reboot Normal Mode: Checking Files, Trojan Files Found, Removing Temp Files... Tu passes après malwareBytes en mode sans échec. Tu devrais trouver l'info sur le net. Excellent antimalware. tu connais le site Smartshopper, par hasard. Tu peux poster toute ou partie de ces rapports. Je vais me renseigner pour un outil qui réparerait la BDR. Salut. 
|
||
|
|
00
|
|
22/05/2008, 20h26
|
#11 | |
|
Membre régulier
Inscription : novembre 2003 Messages : 143 |
Salut,
Citation:
@+ |
|
|
|
00
|
|
22/05/2008, 20h32
|
#12 |
|
Membre éprouvé
Enseignant Inscription : avril 2004 Messages : 431 |
salut,
Non, tu fais scanner le fichier qui est sur ta machine.
|
|
|
00
|
|
22/05/2008, 20h37
|
#13 |
|
Membre régulier
Inscription : novembre 2003 Messages : 143 |
re-salut,
C'est ça, je ne trouve pas le fichier iaanotify.exe sur ma machine !!! J'ai cherché par tout, je ne le trouve pas C'est possible de me donner le path @+ |
|
|
00
|
|
22/05/2008, 20h40
|
#14 |
|
Membre éprouvé
Enseignant Inscription : avril 2004 Messages : 431 |
Excuse, Leishmaniose
c'est le fichier iaanotif.exe, celui qui a été infecté par le bagle. Sur le site de virustotal, tu peux scanner des fichiers de ton PC pour vérifier si ils sont ou non infectés. A+/ |
|
|
00
|
Copyright © 2000-2012 - www.developpez.com