Help Please! Virus Bagle!

SpWoof -  
did71 Messages postés 2187 Statut Contributeur sécurité -
Salut Salut!

Heu mauvaise nouvelle (surtout pr moi), je croi bien (en fait j'en suis sur), je suis infécté par un virus de type Bagle, et heu.....impossible de m'en débarasser. Et puis moi et l'informatique c'est pas chouette, surtout quand le virus vous suprime les .exe de vos antivirus.
Svp y'a t'il quelqu'un pour m'aider !! merci ;)

17 réponses

  1. jibounours
     
    bonsoir,

    va voir sur secuser.com tu dois pouvoir trouver un logiciel pour virer cet intrus.
    Bon courage
    0
  2. raleuboleu Messages postés 5028 Statut Membre 79
     
    salut

    essais déja ceci :

    1/vundo:

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4
    Double-clique VundoFix.exe afin de le lancer.

    Clique sur le bouton Scan for Vundo.
    Lorsque le scan est complété, clique sur le bouton Remove Vundo.
    Une invite te demandera si tu veux supprimer les fichiers, clique YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
    Démarre ton PC à nouveau.

    2/virtumonde:

    Télécharge VirtumundoBegone sur le bureau:
    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

    Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
    Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
    Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu

    3/Sdfix:

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

    4/rends toi sur ce lien et suit ce qui est dit :
    https://leblogdeclaude.blogspot.com/2007/08/eradiquer-le-worms-versbagle-et.html

    5/hijack

    Télécharge HijackThis ici:
    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)

    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    bizoux, poste tous rapports possible stp ^^
    0
  3. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir,

    télécharge ELIBAGLA sur ton bureau:

    http://www.zonavirus.com/datos/archivos/Descargas/Utilidades%20SATINFO/EliBaglA.exe

    Double-clic sur Elibagla.exe>laisse la case
    "eliminar ficheros automaticamente" coché>clique sur"explorar"
    >laisse-le travailler>poste le rapport final qui sera
    dans c:\infosat.txt

    a+
    0
  4. SpWoof
     
    Ok merci did71 je fais ca de suite et je le poste ;)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. SpWoof
     
    Voici tout d'abord mon rapport BlackLight :

    08/23/07 18:33:13 [Info]: BlackLight Engine 1.0.64 initialized
    08/23/07 18:33:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    08/23/07 18:33:13 [Note]: 7019 4
    08/23/07 18:33:13 [Note]: 7005 0
    08/23/07 18:33:15 [Note]: 7006 0
    08/23/07 18:33:15 [Note]: 7011 1652
    08/23/07 18:33:15 [Note]: 7026 0
    08/23/07 18:33:15 [Note]: 7026 0
    08/23/07 18:33:15 [Note]: 7024 3
    08/23/07 18:33:15 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
    08/23/07 18:33:17 [Note]: FSRAW library version 1.7.1022
    08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
    08/23/07 18:37:19 [Note]: 10002 3
    08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
    08/23/07 18:37:19 [Note]: 10002 3
    08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
    08/23/07 18:37:19 [Note]: 10002 3
    08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
    08/23/07 18:37:19 [Note]: 10002 3
    08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
    08/23/07 18:37:19 [Note]: 10002 3
    08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
    08/23/07 18:37:19 [Note]: 10002 3
    08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
    08/23/07 18:37:19 [Note]: 10002 3
    08/23/07 18:37:19 [Note]: 10002 2
    08/23/07 18:37:19 [Note]: 10002 2
    08/23/07 18:37:40 [Info]: Hidden file: c:\Program Files\Skype\toolbars\Shared\SPhoneParser.dll
    08/23/07 18:37:40 [Note]: 10002 3
    08/23/07 18:37:40 [Note]: 10002 2
    08/23/07 18:37:40 [Note]: 10002 2
    08/23/07 18:41:39 [Note]: 10002 2
    08/23/07 18:41:39 [Note]: 10002 2
    08/23/07 18:42:05 [Info]: Hidden file: c:\WINDOWS\system32\hldrrr.exe
    08/23/07 18:42:05 [Note]: 10002 2
    08/23/07 18:42:22 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
    08/23/07 18:42:22 [Note]: 10002 2
    08/23/07 18:42:22 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
    08/23/07 18:42:22 [Note]: 10002 2
    08/23/07 18:43:49 [Note]: 2000 1012
    08/23/07 18:45:36 [Note]: 7007 0

    et là mon rapport HiJackThis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:29:15, on 23/08/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\nvraidservice.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\BtUsrBdg.exe
    C:\WINDOWS\system32\BTSetBootKey.exe
    C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
    C:\Program Files\AGEIA Technologies\TrayIcon.exe
    C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
    C:\WINDOWS\vsnpstd3.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
    C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\runservice.exe
    C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Program Files\CyberLink\Shared files\RichVideo.exe
    C:\Program Files\Autodesk\3dsMax8\brazil\sfmgr\sfmgr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Raxco\PerfectDisk\PDSched.exe
    C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    C:\WINDOWS\system32\wbem\unsecapp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Léo\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
    O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
    O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe
    O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\tempo\E_SDA.tmp" /EF "HKLM"
    O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
    O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\TrayIcon.exe
    O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - Global Startup: Logitech SetPoint.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: MsgPlusLoader.dll,,,
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
    O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
    O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
    O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: CaReTaKeR-CT NetMgr 1.2.1 (sfmgr) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\brazil\sfmgr\sfmgr.exe
    0
  7. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    pour suivre
    0
  8. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    continue avec ELIBAGLA, tu n'as pas besoin de faire le reste!

    a+
    0
  9. SpWoof
     
    ELIBAGLA est en cours d'éxécution actuelement, ne t'en fais pas je l'ai pas oublié :)
    0
  10. raleuboleu Messages postés 5028 Statut Membre 79
     
    re

    oui continue , j'ai juste voulu aider

    bonne continuation a toi
    0
  11. SpWoof
     
    Je ne sais pas si c'est le cas ou pas, mais mon analyse EliBaglA ( je t'avou c'est la premiere foi que je l'utilise ) semble s'etre stopé en cours (Nbr total de Ficheros:146418 ;Nbr de ficheros Analizados:12706) , en tout cas l'analyse n'avance plus.

    Voici malgré tout le contenu du document InfoSat:

    Thu Aug 23 22:20:38 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.47
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Eliminado Bagle
    Eliminada Carpeta "%WinDir%\exefld"
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Thu Aug 23 22:21:02 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    0
  12. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    ok,

    maintenant, peux tu poster un nouveau rapport blacklight?

    a+
    0
  13. SpWoof
     
    Re

    Voici le nouveau rapport Blacklight:

    08/23/07 22:59:54 [Info]: BlackLight Engine 1.0.64 initialized
    08/23/07 22:59:54 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    08/23/07 22:59:55 [Note]: 7019 4
    08/23/07 22:59:55 [Note]: 7005 0
    08/23/07 22:59:56 [Note]: 7006 0
    08/23/07 22:59:56 [Note]: 7011 1652
    08/23/07 22:59:57 [Note]: 7026 0
    08/23/07 22:59:57 [Note]: 7026 0
    08/23/07 22:59:57 [Note]: 7024 3
    08/23/07 22:59:57 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
    08/23/07 23:00:02 [Note]: FSRAW library version 1.7.1022
    08/23/07 23:04:29 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
    08/23/07 23:04:29 [Note]: 10002 3
    08/23/07 23:04:29 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
    08/23/07 23:04:29 [Note]: 10002 3
    08/23/07 23:04:29 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
    08/23/07 23:04:29 [Note]: 10002 3
    08/23/07 23:04:29 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
    08/23/07 23:04:30 [Note]: 10002 3
    08/23/07 23:04:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
    08/23/07 23:04:30 [Note]: 10002 3
    08/23/07 23:04:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
    08/23/07 23:04:30 [Note]: 10002 3
    08/23/07 23:04:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
    08/23/07 23:04:30 [Note]: 10002 3
    08/23/07 23:04:30 [Note]: 10002 2
    08/23/07 23:04:30 [Note]: 10002 2
    08/23/07 23:04:56 [Info]: Hidden file: c:\Program Files\Skype\toolbars\Shared\SPhoneParser.dll
    08/23/07 23:04:56 [Note]: 10002 3
    08/23/07 23:04:56 [Note]: 10002 2
    08/23/07 23:04:56 [Note]: 10002 2
    08/23/07 23:09:02 [Note]: 10002 2
    08/23/07 23:09:02 [Note]: 10002 2
    08/23/07 23:09:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
    08/23/07 23:09:46 [Note]: 10002 2
    08/23/07 23:09:46 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
    08/23/07 23:09:46 [Note]: 10002 2
    08/23/07 23:11:16 [Note]: 2000 1012
    08/23/07 23:11:53 [Note]: 7007 0

    (Encor merci pr ton aide ;) )
    0
  14. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    1. Télécharge The Avenger par Swandog46 sur ton Bureau:

    http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    Click sur Avenger.zip pour ouvrir le fichier
    Extraire avenger.exe sur votre bureau

    2. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

    Drivers to unload:
    srosa
    hidr

    Files to delete:

    c:\WINDOWS\system32\drivers\srosa.sys
    C:\WINDOWS\system32\drivers\hidr.exe


    3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
    Sous "Script file to execute" choisir "Input Script Manually".
    Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
    Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
    Cliquer Done
    ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
    Réponds "Yes" deux fois quand demandé.

    4. The Avenger va automatiquement faire ce qui suit:
    Il va Re-démarrer le système.
    Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
    Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    5. Pour finir copie/colle le contenu du ficher c:\avenger.txt

    a+
    0
  15. SpWoof
     
    Voici le contenu du fichier avenger.txt:

    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\awsvkmvf

    *******************

    Script file located at: \??\C:\wccccvro.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Driver srosa unloaded successfully.

    Registry key \Registry\Machine\System\CurrentControlSet\Services\hidr not found!
    Unload of driver hidr failed!

    Could not process line:
    hidr
    Status: 0xc0000034

    File c:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
    File C:\WINDOWS\system32\drivers\hidr.exe deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.

    -----

    J'esper que cela aidera pour avancer dans la supression du(des) virus!
    Et encor merci merci et merci pour ton aide c'est super :D !
    0
  16. SpWoof
     
    J'ai fait un nouveau scan Blacklight et belle surprise: plus aucuns virus détéctés :D

    Alors voila après une journée de recherches (pour moi) et grace à vous j'ai enfin l'esprit tranquille!

    Merci beaucoup beaucoup pour votre aide et bonne continuation!

    [ Probleme Résolu! ]
    0
  17. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir,

    désolé du retard!

    Content d'avoir pu t'aider!

    Dénonce ton infection pour faire condamner les auteurs.

    Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :

    - Voir les règles du forum : https://malwarecomplaints.info/
    - Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
    Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
    Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

    Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
    La tienne = BAGLE

    ---> https://malwarecomplaints.info/

    Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
    conforme au règle du forum (age, ville, département etc..)

    Indique aussi le nom du Forum qui t'a aidé, CCM!

    a+
    0