(Sujet clos) Séverement infecté ::: Win32/Bagle.? (hldrrr.exe / srosa.sys)

Logiciel & apps Logiciel Général
1

Bonsoir à tous! :hello:

J’ai été infecté par hldrrr.exe et srosa.sys dans la semaine, j’ai cru les nettoyer sauf que peu de temps après ils sont revenus.

Premier effet : plus de firewall (Kerio) et plus d’antivirus (Antivir), ainsi que le wifi, déconnecté.

J’ai trouvé dans le registre le problème pour le wifi, qui me couper le service windows de config auto sans fil…
Pour le reste malgré le fait que hldrr et srosa ne soit plus présent, j’ai récupéré d’autre bestioles et mon ordi est maintenant un vrai refuge pour vilaines bêbêtes!!!

Je tourne avec windows xp sp2 (sauf que le virus désactive le service pack il me semble).

Je ne sais plus quoi faire,…

J’ai fait : AVG anti rootkit, Elibag IA, ComboFix, KillBox, Hijackthis, Antivir et dernièrement Kaspersky online.

Merci d’avance pour votre aide!

… si je pouvais éviter un reformatage… :peur:

Voici le rapport de Kaspersky :

Statistiques de l’analyse
Total d’objets analysés 218524
Nombre de virus trouvés 1
Nombre d’objets infectés 1 / 0
Nombre d’objets suspects 0
Durée de l’analyse 02:24:51

Nom de l’objet infecté Nom du virus Dernière action
C:\Documents and Settings\33\Application Data$_hpcst$.hpc L’objet est verrouillé ignoré
C:\Documents and Settings\33\Cookies\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\33\Local Settings\Application Data\Last.fm\Client\Last.fm.log L’objet est verrouillé ignoré
C:\Documents and Settings\33\Local Settings\Application Data\Last.fm\Client\LastFmHelper.log L’objet est verrouillé ignoré
C:\Documents and Settings\33\Local Settings\Application Data\Last.fm\collection.db L’objet est verrouillé ignoré
C:\Documents and Settings\33\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L’objet est verrouillé ignoré
C:\Documents and Settings\33\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L’objet est verrouillé ignoré
C:\Documents and Settings\33\Local Settings\Historique\History.IE5\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\33\Local Settings\Historique\History.IE5\MSHist012008011920080120\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\33\Local Settings\Temp\etilqs_hFuzTW7v3PkdN25 L’objet est verrouillé ignoré
C:\Documents and Settings\33\Local Settings\Temp\WCESLog.log L’objet est verrouillé ignoré
C:\Documents and Settings\33\Local Settings\Temporary Internet Files\Content.IE5\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\33\ntuser.dat L’objet est verrouillé ignoré
C:\Documents and Settings\33\ntuser.dat.LOG L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L’objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L’objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L’objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L’objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L’objet est verrouillé ignoré
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe Infecté : Trojan-Downloader.Win32.Bagle.hx ignoré
C:\System Volume Information_restore{3D8FD8D1-E60F-4F0F-B7F2-76D87BF636C5}\RP1\change.log L’objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L’objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L’objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache{586178A4-9B40-48A8-8628-324185A14B21}.bin L’objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L’objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\sam L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\security L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L’objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L’objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L’objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L’objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log
Edité le 21/01/2008 à 20:01

2

désinstalle les programmes inutiles et le cache du navigateur
revérifie le parefeu
fais une mise à jour de AntiVir
télécharge Spybot Search and Destroy et mets le à jour
débranches le routeur

ensuite tu peux scanner et virer les virus.

Après ça tu peux te reconnecter à internet. N’oublie pas de mettre à jour Antivir, normalement il le fait automatiquement, si non, vérifie le scheduler

3

J’avais déjà vidé le cache, j’ai désinstallé quelques programmes également.
Antivir est bloqué ainsi que le firewall, ccleaner, spybot,…

le scan d’antivir ne donne rien il me trouve bien 2 fichiers du ver mais cela ne suffit pas.
Pire :
avec PEBuilder j’ai supprimé tous les fichiers du scan de kaspersky, non seulement j’ai “pourri” mon windows en faisant cela, mais en plus le ver est toujours là avec la vache rouge du hldrr.exe et le srosa.sys.

J’ai juste pu restaurer le dossier system32\config…

mais les fichiers usrclass et NTuser manquent bien à ma session, beaucoup de paramètres windows sont imposibles à lancer maintenant! :-(:

Ce ver est la plus “belle” salopri que j’ai jamais vu!!!

Le seul point positif aux suppression de données, c’est que cela m’a permis d’installer ESET smart security (en passant il m’a trouvé des restes d’avast et antivir pourtant désinstallés).
Le scan est en cours…
Edité le 20/01/2008 à 13:44

4

ah ouais là c’est sévère, avoir un virus qui bloque antivirus et parefeu, faut être allé sur un sacré site

on va attendre la réponse de NOD32

5

:non: c’était pas un site,
ça provenait d’un programme malicieux.

6

d’accord

7

Bon il m’a trouvé le bagle on dirait : enfin un antivirus qui le voit! Comme quoi Antivir a ses limites…

Le virus n’a plus l’air présent maintenant.
Sauf que les fichiers qui n’ont pas pu être scanné sont peut être des parties du virus, je pense surtout à C:\WINDOWS\SoftwareDistribution\EventCache{ED558E98-0DCC-4E70-AD93-F23414B93321}.bin

Tout les NTuser et userclass que j’avais supprimé se sont régénéré avec le reboot (heureusement sinon windows ne se serait pas lancé) mais comment puis je les restaurer? Car là, ma session déconne complet : impossible de valider l’affichage des fichiers cachés par exemple, ou tout autre affichage,…

Voici la partie intéressante du rapport d’analyse d’ESET smart security :

Scan Log
Version of virus signature database: 2807 (20080119)
Date: 20/01/2008 Time: 13:08:04
Scanned disks, folders and files: C:\

C:\pagefile.sys - error opening [4]
C:\Documents and Settings\33\ntuser.dat - error opening [4]
C:\Documents and Settings\33\ntuser.dat.LOG - error opening [4]

C:\Documents and Settings\33\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - error opening [4]
C:\Documents and Settings\33\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - error opening [4]
C:\Documents and Settings\33\Menu Démarrer\Programmes\Sécurité\Antirootkit\ComboFix.exe » UPX v12_m2 » RAR » ntp.exe » UPX v12_m5 » AUTOIT » file.bin - archive damaged
C:\Documents and Settings\33\Menu Démarrer\Programmes\Sécurité\Antirootkit\ComboFix.exe » UPX v12_m2 » RAR » ntp.exe » AUTOIT » file.bin - archive damaged
C:\Documents and Settings\33\Menu Démarrer\Programmes\Sécurité\Antirootkit\ComboFix.exe » RAR » ntp.exe » UPX v12_m5 » AUTOIT » file.bin - archive damaged
C:\Documents and Settings\33\Menu Démarrer\Programmes\Sécurité\Antirootkit\ComboFix.exe » RAR » ntp.exe » AUTOIT » file.bin - archive damaged

C:\Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Charon\CACHE.NDB - error opening [4]
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAgentbgy.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAgentbgy.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\LocalService.AUTORITE NT\NTUSER.DAT - error opening [4]
C:\Documents and Settings\LocalService.AUTORITE NT\ntuser.dat.LOG - error opening [4]
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - error opening [4]
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - error opening [4]
C:\Documents and Settings\NetworkService.AUTORITE NT.000\NTUSER.DAT - error opening [4]
C:\Documents and Settings\NetworkService.AUTORITE NT.000\ntuser.dat.LOG - error opening [4]
C:\Documents and Settings\NetworkService.AUTORITE NT.000\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - error opening [4]
C:\Documents and Settings\NetworkService.AUTORITE NT.000\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - error opening [4]

C:\Program Files\OpenOffice.org 2.3\program\python-core-2.3.4\lib\test\testtar.tar » TAR » - archive damaged

C:\System Volume Information_restore{3D8FD8D1-E60F-4F0F-B7F2-76D87BF636C5}\RP5\A0000136.exe - Win32/Bagle.LR worm - cleaned by deleting [1]

C:\WINDOWS\SoftwareDistribution\EventCache{ED558E98-0DCC-4E70-AD93-F23414B93321}.bin - error opening [4]

C:\WINDOWS\system32\mdelk.exe - Win32/Bagle.LV worm - cleaned by deleting [1]
C:\WINDOWS\system32\wintems.exe - Win32/Bagle.LV worm - cleaned by deleting [1]
C:\WINDOWS\system32\CatRoot2\edb.log - error opening [4]
C:\WINDOWS\system32\CatRoot2\tmp.edb - error opening [4]
C:\WINDOWS\system32\config\default - error opening [4]
C:\WINDOWS\system32\config\DEFAULT.LOG - error opening [4]
C:\WINDOWS\system32\config\sam - error opening [4]
C:\WINDOWS\system32\config\SAM.LOG - error opening [4]
C:\WINDOWS\system32\config\security - error opening [4]
C:\WINDOWS\system32\config\SECURITY.LOG - error opening [4]
C:\WINDOWS\system32\config\software - error opening [4]
C:\WINDOWS\system32\config\SOFTWARE.LOG - error opening [4]
C:\WINDOWS\system32\config\system - error opening [4]
C:\WINDOWS\system32\config\SYSTEM.LOG - error opening [4]
C:\WINDOWS\system32\drivers\sptd.sys - error opening [4]
C:\WINDOWS\system32\drivers\down\27561718.exe - Win32/Bagle.LF worm - cleaned by deleting [1]
C:\WINDOWS\system32\drivers\down\27565015.exe - Win32/Bagle.LY worm - cleaned by deleting [1]
C:\WINDOWS\system32\drivers\down\27572375.exe - Win32/Bagle.LV worm - cleaned by deleting [1]

Number of scanned objects: 401791
Number of threats found: 6
Time of completion: 13:56:57 Total scanning time: 2933 sec (00:48:53)

Notes:
[1] Object has been deleted as it only contained the virus body.
[4] Object cannot be opened. It may be in use by another application or operating system.

Edit : l’analyse en mode sans échec n’a rien trouvé de plus…
Edité le 21/01/2008 à 09:13

8

Bon n’ayant pas de réponse, j’vais tenter un “repair” :frowning:

…à moins que quelqu’un connaisse une commande réparant les valeurs usrclass et ntuser, etc… :yeux2:

9

Le plus simple si ton windows est bancal, c’est de sauvegarder ta partition et de lancer une réparation. Au moins tu repars sur un windows avec tes applis mais “stabilisé”

10

Ok :jap:

Par contre ça fait longtemps que je ne l’ai pas fait.

Qu’est ce que ça va m’écraser (documents&setting non?) et quelles sont les manipulations à effectuer après pour retrouver ma session comme avant? Juste l’affichage? ou aussi la réinstallation des pilotes, des liens des applis dans le menu démarrer, etc…?
J’ai un dossier à la racine de C: auquel je tiens beaucoup, ça va pas me l’écraser de faire une réparation?

11

de toutes facons on sauve toujours avant d’opérer … c’est l’avantage de l’informatique

et non ca n’efface rien, ca remet tous les fichiers système en état, ainsi que la bdr. Mais les applis et documents restent, eux.

A faire si ton PC a du mal à démarrer ou a perdu des fichiers systèmes critiques (et irrécupérables)

Ca n’ecrase pas doc&settings, par exemple.

12

Ok, si j’demande ça, c’est justement car je ne peux pas sauvegarder ailleurs…
Mes 2 disques sont pleins à cracker car le troisième est parti en réparation.

13

emprunte un disque externe à une connaissance, au moins le temps de faire la réparation et de s’assurer que tout va bien. On n’intervient jamais sans sauver les données, sauf si elles n’ont pas d’interet.

14

:oui: ça serait mieux mais je ne connais personne qui peut me prêter ça
Donc je vais devoir m’en passer…
mais les données primordiales ont été sauvé tout de même, pas fou non plus.
Le reste c’est embêtant en cas de perte mais pas vitale.

Je fais un chkdsk + contig defrag là, pour mettre toutes les chances de mon côté.^ ^)

15

La réparation Windows n’a rien donné : j’ai toujours les mêmes problèmes (ex : corbeille inaccessible, paramètres windows non fonctionnelles, …)

Donc je vais devoir formaté… :(:(:frowning:

…Sujet clos.
Bagle aura eu le dernier mot!

16

erf, heure du décès : 20h00mn, le lundi 21 janvier 2008.