Virus multirésistant (Elibagla,rsit,combofix,ccleaner,avast,etc)
Forum Sécurité - Virus : Virus multirésistant (Elibagla,rsit,combofix,ccleaner,avast,etc)
Bonsoir
Je me présente très rapidement histoire de rendre ce post moins impersonnel: je m'apelle pierre-alexandre, j'ai 27ans, je suis cadre dans une boite d'indus chimique, donc quelques petites connaisances en info mais pas dégourdis en matière de virus ! Mon problème vient du fait que j'ai (très) bêtement attrapper un virus bagle que je n'arrive pas à virer de mon ordinateur perso winXP. Voici comment ça c'est passé et toutes les résistances qu'il m'a opposé:
Pensant installer un logiciel, je décompresse le dossier téléchargé et lance le fichier exe qui s'y trouve avec une icone réprésentant une ambulance: une fenêtre s'ouvre, j'ai juste le temps de voir marqué: NTSB flight investigator, et quelque lignes du genre "Airbus", "black box", "data generator"... la fenêtre se ferme d'elle même. Quelques minutes plus tard, premiers symptômes: ralentissement excessif de la machine, bugs en tout genre, accès à internet ralentit,... Je décide donc de lancer une analyse avast pour voir si un ver se cachait derrière tout ça. Mais le programme ne se lançe pas, message d'erreur suivant: "ashavast.exe n'est pas une application win32 valide".
Du coup je lance ccleaner, mais là rien non plus, enfin la fenêtre se lance et se referme aussitôt. Je supprime manuellement les dossiers compressés téléchargés, les fichiers décompressés résistent eux à la corbeille. Je fais un tour dans le système et un grand nettoyage manuel: cookies, temp files, et aussi les fichiers drivers (on sait jamais). Je place les fichiers louches dans la corbeille, mais ça resiste au vidage: j'ai pas l'autorisation. Je tente d'une autre manière de vider la corbeille, et là il me demande de confirmer que je veux supprimer windows ! Belle galère... L'ordinateur plante même carrément, et au redémarrage Windows me propose un scan. Je le lance sans y croire car tout plantait y compris internet. Et ça a pas loupé, page introuvable. En réactualisant tout bêtement la page ça fonctionne enfin.
Résultat: virus bagle.gen WinNT.
Première idée: commencer par elibagla. Le scan se lance, s'interrompt brutalement vers le début et entraine l'extinction de l'ordinateur. Au rédemarage, je tente au passage de démarrer en mode sans échec: aucun résultat ! Le mode est innaccessible il me renvoit à la page de choix après avoir booté quelques secondes. Obligé de partir en mode normal. Une fois la session lançée, elibagla se lance avant l'apparition du bureau (bonne nouvelle) le scan se passe bien et j'ai les résultats suivants:
Code :
|
Je ferme le logiciel, mais là une fenêtre NTBS investigator flight se relance, et me refout la mouise. Retour au point de départ. Je réussis néanmoins à supprimer les fichiers supsects que j'avais décompréssés.
Deuxième idée: Déinstaller avast --> marche pas, fichier uninstall introuvable. Je trouve un site qui propose un fichier équivalent et je déinstalle avast. Puis je réinstalle avast en prenant bien soin de changer le nom des dossiers et de l'exe pour contourner le blocage par le virus, puis je le lance direct: mais rien à faire, "application win32 non valide".
Troisième idée: installer Combofix. Même réaction que avast, "application win32 non valide". Idem avec RSIT
Quatrième idée: je télécharge et lance Findykill, conseillé pour ce genre de virus. L'étape 1 se déroule normalement, je récupère le scan. Je vous fais pas l'offense de tout recopier ici, ça confirme ce qui a déjà été trouvé, manque plus qu'à supprimer ce trojan. Je relance et passe à l'étape 2: elle se lance... puis foirage complet. Là je commence à être à court d'idées ! (et de nerfs 
)
Cinquième idée: sur le rapport txt de findykill y'a une valeur hexadécimale dans les registres qui parait louche.
Code :
|
Je suis pas informaticien mais je crois que la valeur 4=inactivation, et NDISuser I/O me concerne bien vu que je suis en réseau local. Je vais dans l'éditeur de registre (démarrer--> executer--> "regedit" ) et je remplace la valeur 4 par 2 ou 3 sans constater de différence entre les deux, la 2 étant la valeur par défaut. Pour ceux que ça interesse voici le chemin: HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ndisuio. Pas de changement notable, ma connexion fonctionne mais lagg beaucoup. Et de toute façon ce n'est qu'une des nombreuses modif que ce virus a du faire.
Sixième idée: ouvrir la fenêtre d'un grand imeuble et vérifier si la célèbre loi d'Isaac Newtion s'applique aux ordinateurs portables 
Je sais vraiment plus quoi faire. Je suis désolé de vous faire perdre du temps mais je vous serais très reconnaissant si vous m'aidiez !!
Amicalement
PA
Pas de réponses pour l'instant, j'espère qu'une âme chartiable atterira sur ce sujet 
En attendant y'a du nouveau. J'ai réussi à faire un scan combofix !! J'ai réinstaller combofix mais en changeant le nom de l'exe, et ça a marché. Je ne l'avais pas fais la première fois car j'avais déjà pris cette précaution pour avast (changer tous les noms) et ça n'avait pas empêcher le virus de bloquer l'application ! Donc cool une bonne chose de faite. Et voici la fin du scan:
Code :
|
J'espère au moins que le rootkit a bien été supprimé. Suite à ça j'ai pu relancer findykill et elle a trouvé ça:
[cpp]--------------- [ Infected files / folders ] ----------------
»»»» Supression files in C:
»»»» Supression files in C:\WINDOWS
»»»» Supression files in C:\WINDOWS\Prefetch
Deleted ! - C:\WINDOWS\prefetch\KEYGEN.EXE-1EB413C1.pf
»»»» Supression files in C:\WINDOWS\system32
»»»» Supression files in C:\WINDOWS\system32\config\systemprofile\AppData\Roaming
»»»» Supression files in C:\WINDOWS\system32\drivers
»»»» Supression files in C:\Documents and Settings\Pierre DETRVESAC\Application Data
Deleted ! - "C:\Documents and Settings\Pierre DETREVESAC\Application Data\drivers"
»»»» Supression files in C:\DOCUME~1\PIERRE~1\LOCALS~1\Temp
»»»» Supression files in C:\Documents and Settings\Pierre DETREVESAC\Local Settings\Temporary Internet Files\Content.IE5
Deleted ! - C:\Documents and Settings\Pierre DETREVESAC\Local Settings\Application Data\Microsoft\Media Player\Cache d'images\LocalMLS\{B85B645E-342A-47D7-A2A4-6EDBF6CCE89F}.jpg
--------------- [ Other deleting ] ----------------
--------------- [ Registry / Infected keys ] ----------------
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_USERS\S-1-5-21-441222156-688031207-4291599898-1005\Software\Local AppWizard-Generated Applications\keygen
Deleted ! - HKEY_USERS\S-1-5-21-441222156-688031207-4291599898-1005\Software\Local AppWizard-Generated Applications\msnmsgr
Deleted ! - HKEY_USERS\S-1-5-21-441222156-688031207-4291599898-1005\Software\Local AppWizard-Generated
Salut PA,
J'espère que ton problème est résolu depuis plus de 6 mois 
J'ai un ami qui a le même problème et qui m'a amené son ordinateur.
Voici une solution que j'ai trouvé et qui semble fonctionner.
http://forum.pcastuces.com/virus_d [...] s48252.htm
Bonne chance !
Toche
