Forum Clubic

Virus Trojan-Downloader.Win32.Bagle.ft

Bonjour à tous!

J’ai besoin de toute votre aide sur ce coup!!!

Mon PC vient d’attrapper un *%#&"-|%ù§ de virus!!! :grrr:

Windows ne veut plus démarrer, même en mode sans échec et même en bootant avec ultimate :peur:

Le premier effet du virus a été de réinstaller Windows Live Messenger, c’est depuis que j’ai annulé l’installation automatique de WLM que mon ordi ne s’allume plus!
Avant cela j’ai tenté une restauration sans succès.

Origine du problème : J’ai lancé un programme qui était associé à un fichier caché nommé rundll32.dll ptipbmf.dll, enfin un truc dans ce genre : sur l’autre ordi impossible de visualiser ce fichier… (seul le programme en .exe apparait)
Mon curseur est devenu invisible dès que j’ai lancé le programme. Puis tous les ennuis cités plus haut.

Je peux uploader le dit-programme si ça peut être utile.

Merci de l’aide que vous pourrez m’apporter car un formatage me serait très pénible surtout que ça implique la perte de toutes mes données non sauvegardées.

:jap:
Edité le 19/11/2007 à 19:18

Salut.
Windows ne démarre plus du tout ? Et que se passe-t-il lorsque tu boote sur Ultimat boot CD ? Essaye aussi PEBuilder. Installe-le sur l’autre PC ( celui qui marche ) et compile un CD. Ensuite, fais booter le PC defectueux sur le CD obtenu et tu devrais avoir un environnement Windows allégé qui te permettra de restaurer ton PC, de sauvegarder des fichiers, de supprimer le virus, et même d’aller sur le net.
Donne des nouvelles et bon courage ! :wink:

Salut.
Non windows ne se lance plus du tout.
Si je fais dernière bonne configuration connue, il bloque sur la page avec le logo win xp, la barre de chargement se fige.
Et si je fais mode sans échec, l’ordi se rallume carrément dès qu’il a chargé les pilotes.

Je vais télécharger PEBuilder, merci du tuyau.

J’ai déjà eu affaire à des virus mais celui là à l’air tenace, j’ai bien peur d’y laisser des plumes cette fois-ci. :peur:
Edité le 17/11/2007 à 16:15

Tu as essayé avec le mode sans échec classique ( c’est à dire sans prise en charge réseau ) ? Pour PEBuilder, je t’avertis déjà qu’il lui faut le CD d’installation de Windows XP, et la gravure peut atteindre 1 heure ( mais c’est 30 minutes pour la plupart des cas ).
C’est possible que tu ais eu affaire à un rootkit. Les plus dangereux sont totalement invisibles et nécessitent un reformatage ( car il faut plusieurs antirootkits pour venir à bout de ces vilaines bestioles, et des fois cela ne suffit pas ! ). Donc soit c’est un virus colossal, soit c’est un rootkit de dangerosité moyenne.
Je garde espoir que tu puisses retrouver ton PC intact. :wink:

Merci, je garde aussi espoir même si j’ai la goutte là en ce moment.

J’ai pas tout compris dans le logiciel PEBuilder : faut juste faire compiler en bas, non?
vu que je suis sur un autre ordi je vais pas ajouter des dossiers ou des programmes qui concerne mon 2e PC?

Sinon pour le mode sans échec, c’est bien le classique que j’ai essayé.

Si quelqu’un d’assez fortiche en programmation a l’envie de zieuter le .exe incriminé pour me dire ce qu’il en est, c’est avec grand plaisir que je le lui donnerai.
Prudence tout de même à celui qui s’y risquerait.

Tu as un tuto sur ce site qui devrait t’éclairer.


Pour ton virus, je veux bien voir à quoi il ressemble. Je te passerai mon e-mail jetable par mp si tu veux.
Et pour le tuto de PEBuilder, tu peux sauter la 2eme partie. Elle n'est pas essentielle, elle apporte juste quelques petits plus.

Ok merci!
Le logiciel a l’air très bien,
j’espère que je trouverai le fichier qui a corrompu ma session windows
et que je pourrai le supprimer grâce a PEBuilder.
J’espère déjà que PEBuilder va fonctionner et que je pourrai sauvegarder mes données dans un premier temps.

Pour le virus, je veux bien que tu jettes un œil si t’as le temps et que ca ne te dérange pas.
Si tu cibles le problème ça me permettrai de savoir quels sont les fichiers corrompus et de réparer les dégats.

Encore merci pour ton aide! :jap:

Je ne m’y connais pas en programmation, mais je suis juste bidouilleur et curieux. Je t’envoie mon mail jetable par mp et je regarde ça sur ma machine virtuelle. :wink:

ok merci,
j’vois que t’es équipé! :wink:

Faut bien. :smiley:

Bon y a du neuf!

PEBuilder : :super:
J’ai sauvegardé mes données importantes! Ca s’est fait!

J’ai réparé mon registre via la console de recupération en repompant les fichiers d’une sauvegarde de la restauration windows : default, system, security, sam, software.

Du coup le mode sans échec se lance. Mais le mode normal c’est une autre histoire : toujours cette barre de chargement qui se fige…

Maintenant que je peux accéder au mode sans échec il ne me reste plus qu’à trouver ce que m’a fait cette méchante bêbête pour que windows ne veuille plus s’allumer!
Edité le 17/11/2007 à 21:23

J’y crois pas : j’ai effectué une restauration système en partant d’un point de sauvegarde plus ancien (en mode sans echec bien sur), et là miracle : windows est reparti! :clap:

je clos pas le topic tout de suite car je vais balancé un hijackthis tout à l’heure : il doit bien me rester une ou deux saloperies.

en tout cas merci à toi Barbier Fou de m’avoir accordé de ton temps!
dis moi si tu trouves quelque chose…

Je balance le log hijackthis d’ici peu, je vais m’occtroyer une pause bien méritée là! :smiley:
Edité le 17/11/2007 à 21:41

En apparence mon PC semble avoir repris ses couleurs d’origine.
Voici le log :

Logfile of HijackThis v1.99.1
Scan saved at 20:23:12, on 17/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Kerio\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\Program Files\Kerio\kpf4gui.exe
C:\Program Files\Kerio\kpf4gui.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CCleaner\ccleaner.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\BitTorrent_DNA\dna.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = localhost:9100…
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [LogonStudio] “C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe” /RANDOM
O4 - HKLM…\Run: [NVMixerTray] “C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe”
O4 - HKLM…\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe”
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”
O4 - HKLM…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKCU…\Run: [ccleaner] “C:\Program Files\CCleaner\ccleaner.exe” /AUTO
O4 - HKCU…\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU…\Run: [BitTorrent DNA] “C:\Program Files\BitTorrent_DNA\dna.exe”
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe” /background
O4 - HKCU…\Run: [Steam] “c:\program files\steam\steam.exe” -silent
O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Aide mémoire.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - gfx1.hotmail.com…
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - fichiers.touslesdrivers.com…
O17 - HKLM\System\CCS\Services\Tcpip…{48F50996-BEA3-49D1-B5E0-93A996524064}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Kerio\kpf4ss.exe

:bounce:

quelqu’un peut me dire si mon log est clean?
…si c’est le cas je pourrai clore ce topic.

est-ce normal que “RUNDLL32.EXE” soir en majuscules??? ça me parait bizarre! Surtout que le fichier vérolé qui est à l’origine de tous mes précédents soucis s’appelait comme ça!

En tout cas, mon pc a l’air d’être ok depuis la restauration.

Merci d’avance!

Salut.
A part ce petit truc : O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) c’est clean. Tu peux aussi fixer ça pour accélérer un peu le démarrage :
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe”
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”
O4 - HKLM…\Run: [NVMixerTray] “C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe”

Content que tu t’en sois sorti. :slight_smile: Garde quand même le CD de PEBuilder, ça sert toujours. Bravo pour le courage et la persévérance dont tu as fais preuve :super:
Un dernier conseil, je te recommande de prendre Antivir à la place d’Avast. Antivir est beaucoup plus efficace et possède une protection heuristique.

A+ et bonne continuation.

Pour ton virus que tu m’as envoyé, je l’ai testé sur ma machine virtuelle. C’est bien un virus, mais, même après un redémarrage, le PC fonctionne normalement ( à part que le virus ouvre grand les portes du PC au pirates, mais Windows démarre bien ). :etonne2:
Voilà le rapport virustotal, pour plus d’info :

AhnLab-V3 2007.11.17.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 TR/Crypt.CFI.Gen
Authentium 4.93.8 2007.11.17 -
Avast 4.7.1074.0 2007.11.18 -
AVG 7.5.0.503 2007.11.17 IRC/BackDoor.SdBot3.UZO
BitDefender 7.2 2007.11.18 Win32.Worm.Bagle.ZKB
CAT-QuickHeal 9.00 2007.11.17 TrojanDownloader.Bagle.ft
ClamAV 0.91.2 2007.11.18 PUA.Packed.Themida
DrWeb 4.44.0.09170 2007.11.18 Win32.HLLM.Beagle.45143
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5304 2007.11.17 -
Ewido 4.0 2007.11.18 -
FileAdvisor 1 2007.11.18 -
Fortinet 3.11.0.0 2007.11.18 -
F-Prot 4.4.2.54 2007.11.16 -
F-Secure 6.70.13030.0 2007.11.17 Trojan-Downloader.Win32.Bagle.ft
Ikarus T3.1.1.12 2007.11.18 Trojan-Downloader.Win32.Bagle.ft
Kaspersky 7.0.0.125 2007.11.18 Trojan-Downloader.Win32.Bagle.ft
McAfee 5165 2007.11.16 -
Microsoft 1.3007 2007.11.18 TrojanDownloader:Win32/Bagle.OX
NOD32v2 2665 2007.11.17 Win32/Bagle.KU
Norman 5.80.02 2007.11.16 SDBot.gen8
Panda 9.0.0.4 2007.11.18 -
Prevx1 V2 2007.11.18 Heuristic: Suspicious Self Modifying EXE
Rising 20.18.61.00 2007.11.18 Worm.Mail.Win32.Bagle.geq
Sophos 4.23.0 2007.11.18 -
Sunbelt 2.2.907.0 2007.11.17 VIPRE.Suspicious
Symantec 10 2007.11.18 -
TheHacker 6.2.9.133 2007.11.17 Trojan/Downloader.Bagle.ft
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.18 Trojan.DL.Bagle.QK
Webwasher-Gateway 6.0.1 2007.11.16 Trojan.Crypt.CFI.Gen

Ok, je vais fixé ça de suite!
Je suis extrêmement soulagé en effet : j’ai plein de mails à envoyer demain matin pour du boulot et j’avais pas vraiment prévu un formatage. Merci de m’avoir aider. :wink:
Pour la réparation du registre j’ai utilisé cette méthode, bien fastidieuse, mais efficace : http://support.microsoft.com/kb/307545/fr
PEBuilder : testé et approuvé, je garde sous le coude c’est sur!
Et pour Antivir j’avais envisagé de changer pour celui-là, mais je l’ai pas encore fait par flemme. Mais après ces péripéties, je vais peut être bien l’installer! :icon_biggrin:

Tiens c’est bizarre! :etonne2:
C’est peut être la première restauration que j’ai faite qu’il a pas aimé…
Je comprends pas encore vraiment ce qui s’est passé (pourquoi WLM cherchait à se réinstaller par exemple), ni comment je m’en suis sorti, mais l’essentiel est que tout soit rentré dans l’ordre. J’espère juste qu’il reste aucune trace du virus, car à part la restauration du système j’ai rien fait. Je vais peut être faire un scan en ligne, ça serait plus prudent!
Je vais aussi chercher sur google maintenant que je peux mettre un nom à la bêbête (grâce à toi! :super:)

aïe aïe aïe!
C’est bien ce que je craignais, le virus est bien présent sur mon PC, il s’est logé dans des fichiers thunderbird (application data/thunderbird/…/sent/) et system volum information/restore… (bien sur) .
Nom du virus d’après Kaspersky : Trojan-Downloader.Win32.Bagle.ft (c’est bien ça)

Antivir (ca y est je l’ai installé! :smiley: à défaut de pouvoir chopper AVS, faut bien!) ne m’a rien trouvé. :-(:

Existe-il un patch pour le supprimer?
Je ne trouve rien de probant sur google…

En attendant j’ai supprimé manuellement les fichiers incriminés “sent” et les “restore” concernés… :neutre:
Edité le 19/11/2007 à 01:34

J’ai viré Antivir, et installé Kaspersky (en trial)…
Le scan est en cours…
Edité le 19/11/2007 à 13:44

Normalement, Antivir le détecte ( sous un autre nom ) :neutre:
Et, il est aussi dans la base de données de Kaspersky, donc ça devrait aller. Fais attention, si il est dans Thunderbird, il risque d’endommager des mails.