Se connecter avec
S'enregistrer | Connectez-vous

Demande d'aide pour supprimer Bagle et cie

Dernière réponse : dans Sécurité

Bonjour à tous !

J'ai eu la désagréable surprise hier soir d'avoir une infection de type Bagle (a priori).
J'ai passé deux journées (n'étant qu'un novice en la matière) à tenter d'en venir à bout.
En mode sans échec tout était bloqué sauf la restauration donc j'ai fait.
Après j'ai pu me servir des utilitaires: Malwarebytes avec lequel j'ai supprimé spyware, troyan, rootkit l'un après l'autre. Puis, j'ai utilisé FindyKill avec lequel j'ai apparemment supprimé un Bagle mais sans certitude. Puis, j'ai utilisé Combofix qui a supprimé un rootki. Et maintenant je suis bloqué car j'ai réinstallé Avast et celui ci ne s'affiche plus. Il y a eu un crash ( écran tout bleu) donc je pense que mon pc n'est pas propre. Depuis j'ai fait pas mal de trucs mais à chaque fois, y'a un fichier qui sort de l'ombre. On a tenté de m'aider sur un autre site mais il y a toujours des restes a pirori.
Je fais donc appel s'il vous plait à vos connaissances qui m'aideront car je ne m'en sors pas !!
Merci beaucoup à vous.



Autres pages sur : demande aide supprimer bagle cie

Lassé par la pub ? Créez un compte

Bonjour,

Nombre des outils que tu as utilisé, en particulier Combofix sont dangereux sans connaissance.


Poste les différents rapports obtenu avec Malwarebyte's (onglet "Log/rapport"), Fyndikill (ici : C:\Fyk.txt ) et Combofix (ici : C:\Combofix.txt)

Pour plus de facilité, héberge-le de cette manière :

Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

Merci de m'avoir répondu.

Je te transmets certains rapports mais qui ne sont pas les initiaux car j'ai refait certaines analyses.

le 1er
http://www.cijoint.fr/cjlink.php?file=cj201108/cijzHiZC...

le 2nd
http://www.cijoint.fr/cjlink.php?file=cj201108/cijr8A1J...

le 3ème
http://www.cijoint.fr/cjlink.php?file=cj201108/cijVgGqa...

le 4ème
http://www.cijoint.fr/cjlink.php?file=cj201108/cijWiLrb...

5ème
http://www.cijoint.fr/cjlink.php?file=cj201108/cijL1Ie5...

Re,

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !


    Pour info, ce n'était pas Bagle, mais le bootkit TDSS qu'il y avait en infection.

    Deuxièmement la seconde vague de rapport est illisible, tu as mal collé les liens ;) 


    A faire :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system64\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system64\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau
    Lassé par la pub ? Créez un compte

    Créer un nouveau sujet

    Tom's guide dans le monde