Problème avec un virus non-détecté par Avast

Bonjour,
J’écris ce message en espérant qu’il sera pris en compte car il est d’une extrème importance.
Vendredi soir j’ai cliqué sur un executable que j’avais téléchargé.
Je l’ai évidemment testé avec Avast, chose que je fais toujours avant d’executer un programme que je connais mal.
Avast n’a rien détecté…
Quelque minute après avoir executé le programme, des problèmes ont commencés à apparaître.
Avast s’est trouvé d’un seul coup complètement hors service, sont executable s’est trouvé effacé, Avast s’est donc complètement coupé du système.
Des processus inconnus ont commencé à apparaître, comme par exemple “HLDRRR.EXE”

Après une recherche sur le net j’ai trouvé un mini programme qui m’a permis de supprimer ce virus totalement.
C’est un virus de type “Bagle”

Voilà j’ai posté ce post car je trouve assez grave et étonnant qu’Avast ne détecte pas ce virus et qu’il se retrouve carrément supprimé par celui ci.
J’espère qu’il sera très rapidement dans sa base de données et que ce problème n’arrive pas à d’autres personnes moins à l’aise avec l’informatique et qui pourraient se trouvé dans l’incapacité de le supprimer.

Je vous met ci dessous un c/c du log du programme qui a supprimé ce virus.


  Fri Jul 13 19:44:33 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE → Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT → Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\ROOT\APPLICATION DATA\HIDIRES\HIDR.EXE → Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\ROOT\APPLICATION DATA\HIDIRES\ROSA.SYS → Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\HLDRRR.EXE → Bagle.dldr Renombrado a .VIR
Eliminada Carpeta “%WinDir%\exefld”
Restaurada Clave: “SafeBoot\Minimal y Network”

  Fri Jul 13 19:45:20 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

Lista de Acciones (por Exploración):
Explorando Unidad C:
C:\eMule0.48a\Incoming\Network Emulator 3.0\NETWORK EMULATOR 3.0.EXE → Eliminado Bagle.dldr
C:\WINDOWS\system32\FLEC003.EXE → Eliminado Bagle.dldr

  Fri Jul 13 19:54:16 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR → Eliminado
C:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR → Eliminado
Eliminada Carpeta “%WinDir%\exefld”
Eliminada Carpeta “%AppData%\Hidires”

Response will be faster if you post in English. (It is an English-only forum.) Can you please use an automated translation service, copy and paste your text?

http://world.altavista.com/
http://dictionary.reference.com/translate/text.html
http://www.freetranslation.com/
http://www.worldlingo.com/en/products_services/worldlingo_translator.html
http://translation2.paralink.com/

Hi, I’ll translate the message since it looks to be important…

Hello,
I write this message in hoping that it will be taken seriously because it is of extreme importance. Friday evening I clicked on an executable that I downloaded. I obviously tested it with Avast, a thing that I always do before executing a program that I know little about.
Avast did not detect anything.

Some minute after having executed the program, problems started to appear.
Avast found itself suddenly completly out of service and its executables were erased!! Therefore cutting out Avast from my system.

Unknown processes started to appear, for example “HLDRRR.EXE”.

After some research on the Net I found a mini program which enabled me to remove this virus completely. It is a virus of the type “Bagle”.

Here I posted this message because I find it a rather serious issue and I’m really surprised that Avast does not detect this virus and that it can be removed so readily by that Virus.

I hope that it will be put very quickly in the AV database and that this problem will not happen to other people that are less at ease with computers and who could be found in a position where they are unable to remove it. I provided below a carbon copy of the log made by the program that removed the virus.


 Fri Jul 13 19:44:33 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE → Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT → Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\ROOT\APPLICATION DATA\HIDIRES\HIDR.EXE → Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\ROOT\APPLICATION DATA\HIDIRES\ROSA.SYS → Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\HLDRRR.EXE → Bagle.dldr Renombrado a .VIR
Eliminada Carpeta “%WinDir%\exefld”
Restaurada Clave: “SafeBoot\Minimal y Network”

 Fri Jul 13 19:45:20 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

Lista de Acciones (por Exploración):
Explorando Unidad C:
C:\eMule0.48a\Incoming\Network Emulator 3.0\NETWORK EMULATOR 3.0.EXE → Eliminado Bagle.dldr
C:\WINDOWS\system32\FLEC003.EXE → Eliminado Bagle.dldr

 Fri Jul 13 19:54:16 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR → Eliminado
C:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR → Eliminado
Eliminada Carpeta “%WinDir%\exefld”
Eliminada Carpeta “%AppData%\Hidires”

This is a rootkit (hidden virus) that has tons of variants… avast does not detect all of them.

Indeed, hope they improve detection of this one.
Can you send the samples to virus@avast.com ?
You can zip and password the files… Inform a link to this thread and the password used.
You can send the files to Chest and, from there, resend to Alwil for analysis.
Thanks.