Sujet Précédent Sujet Suivant

Help Please! Virus Bagle!

Fermé
SpWoof - 23 août 2007 à 22:06
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 - 24 août 2007 à 22:10
Salut Salut!

Heu mauvaise nouvelle (surtout pr moi), je croi bien (en fait j'en suis sur), je suis infécté par un virus de type Bagle, et heu.....impossible de m'en débarasser. Et puis moi et l'informatique c'est pas chouette, surtout quand le virus vous suprime les .exe de vos antivirus.
Svp y'a t'il quelqu'un pour m'aider !! merci ;)
A voir également:

17 réponses

Réponse 1 / 17
jibounours
23 août 2007 à 22:14
bonsoir,

va voir sur secuser.com tu dois pouvoir trouver un logiciel pour virer cet intrus.
Bon courage
0
Réponse 2 / 17
raleuboleu Messages postés 5022 Date d'inscription mercredi 13 décembre 2006 Statut Membre Dernière intervention 14 mars 2012 79
23 août 2007 à 22:15
salut

essais déja ceci :

1/vundo:



Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer.

Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.




2/virtumonde:



Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu




3/Sdfix:


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

4/rends toi sur ce lien et suit ce qui est dit :
https://leblogdeclaude.blogspot.com/2007/08/eradiquer-le-worms-versbagle-et.html






5/hijack


Télécharge HijackThis ici:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)

http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm


bizoux, poste tous rapports possible stp ^^
0
Réponse 3 / 17
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
23 août 2007 à 22:15
Bonsoir,

télécharge ELIBAGLA sur ton bureau:

http://www.zonavirus.com/datos/archivos/Descargas/Utilidades%20SATINFO/EliBaglA.exe

Double-clic sur Elibagla.exe>laisse la case
"eliminar ficheros automaticamente" coché>clique sur"explorar"
>laisse-le travailler>poste le rapport final qui sera
dans c:\infosat.txt

a+
0
Réponse 4 / 17
SpWoof
23 août 2007 à 22:23
Ok merci did71 je fais ca de suite et je le poste ;)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 17
SpWoof
23 août 2007 à 22:26
Voici tout d'abord mon rapport BlackLight :

08/23/07 18:33:13 [Info]: BlackLight Engine 1.0.64 initialized
08/23/07 18:33:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/23/07 18:33:13 [Note]: 7019 4
08/23/07 18:33:13 [Note]: 7005 0
08/23/07 18:33:15 [Note]: 7006 0
08/23/07 18:33:15 [Note]: 7011 1652
08/23/07 18:33:15 [Note]: 7026 0
08/23/07 18:33:15 [Note]: 7026 0
08/23/07 18:33:15 [Note]: 7024 3
08/23/07 18:33:15 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/23/07 18:33:17 [Note]: FSRAW library version 1.7.1022
08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/23/07 18:37:19 [Note]: 10002 3
08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/23/07 18:37:19 [Note]: 10002 3
08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/23/07 18:37:19 [Note]: 10002 3
08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/23/07 18:37:19 [Note]: 10002 3
08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/23/07 18:37:19 [Note]: 10002 3
08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/23/07 18:37:19 [Note]: 10002 3
08/23/07 18:37:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/23/07 18:37:19 [Note]: 10002 3
08/23/07 18:37:19 [Note]: 10002 2
08/23/07 18:37:19 [Note]: 10002 2
08/23/07 18:37:40 [Info]: Hidden file: c:\Program Files\Skype\toolbars\Shared\SPhoneParser.dll
08/23/07 18:37:40 [Note]: 10002 3
08/23/07 18:37:40 [Note]: 10002 2
08/23/07 18:37:40 [Note]: 10002 2
08/23/07 18:41:39 [Note]: 10002 2
08/23/07 18:41:39 [Note]: 10002 2
08/23/07 18:42:05 [Info]: Hidden file: c:\WINDOWS\system32\hldrrr.exe
08/23/07 18:42:05 [Note]: 10002 2
08/23/07 18:42:22 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/23/07 18:42:22 [Note]: 10002 2
08/23/07 18:42:22 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
08/23/07 18:42:22 [Note]: 10002 2
08/23/07 18:43:49 [Note]: 2000 1012
08/23/07 18:45:36 [Note]: 7007 0

et là mon rapport HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:29:15, on 23/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\BtUsrBdg.exe
C:\WINDOWS\system32\BTSetBootKey.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\Program Files\AGEIA Technologies\TrayIcon.exe
C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\runservice.exe
C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Autodesk\3dsMax8\brazil\sfmgr\sfmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Léo\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe
O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\tempo\E_SDA.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll,,,
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: CaReTaKeR-CT NetMgr 1.2.1 (sfmgr) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\brazil\sfmgr\sfmgr.exe
0
Réponse 6 / 17
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
23 août 2007 à 22:31
pour suivre
0
Réponse 7 / 17
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
23 août 2007 à 22:32
re,

continue avec ELIBAGLA, tu n'as pas besoin de faire le reste!

a+
0
Réponse 8 / 17
SpWoof
23 août 2007 à 22:41
ELIBAGLA est en cours d'éxécution actuelement, ne t'en fais pas je l'ai pas oublié :)
0
Réponse 9 / 17
raleuboleu Messages postés 5022 Date d'inscription mercredi 13 décembre 2006 Statut Membre Dernière intervention 14 mars 2012 79
23 août 2007 à 22:50
re

oui continue , j'ai juste voulu aider


bonne continuation a toi
0
Réponse 10 / 17
SpWoof
23 août 2007 à 22:51
Je ne sais pas si c'est le cas ou pas, mais mon analyse EliBaglA ( je t'avou c'est la premiere foi que je l'utilise ) semble s'etre stopé en cours (Nbr total de Ficheros:146418 ;Nbr de ficheros Analizados:12706) , en tout cas l'analyse n'avance plus.

Voici malgré tout le contenu du document InfoSat:

Thu Aug 23 22:20:38 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.47
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Thu Aug 23 22:21:02 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
0
Réponse 11 / 17
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
23 août 2007 à 22:57
re,

ok,

maintenant, peux tu poster un nouveau rapport blacklight?

a+
0
Réponse 12 / 17
SpWoof
23 août 2007 à 23:12
Re

Voici le nouveau rapport Blacklight:

08/23/07 22:59:54 [Info]: BlackLight Engine 1.0.64 initialized
08/23/07 22:59:54 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/23/07 22:59:55 [Note]: 7019 4
08/23/07 22:59:55 [Note]: 7005 0
08/23/07 22:59:56 [Note]: 7006 0
08/23/07 22:59:56 [Note]: 7011 1652
08/23/07 22:59:57 [Note]: 7026 0
08/23/07 22:59:57 [Note]: 7026 0
08/23/07 22:59:57 [Note]: 7024 3
08/23/07 22:59:57 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/23/07 23:00:02 [Note]: FSRAW library version 1.7.1022
08/23/07 23:04:29 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/23/07 23:04:29 [Note]: 10002 3
08/23/07 23:04:29 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/23/07 23:04:29 [Note]: 10002 3
08/23/07 23:04:29 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/23/07 23:04:29 [Note]: 10002 3
08/23/07 23:04:29 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/23/07 23:04:30 [Note]: 10002 3
08/23/07 23:04:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/23/07 23:04:30 [Note]: 10002 3
08/23/07 23:04:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/23/07 23:04:30 [Note]: 10002 3
08/23/07 23:04:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/23/07 23:04:30 [Note]: 10002 3
08/23/07 23:04:30 [Note]: 10002 2
08/23/07 23:04:30 [Note]: 10002 2
08/23/07 23:04:56 [Info]: Hidden file: c:\Program Files\Skype\toolbars\Shared\SPhoneParser.dll
08/23/07 23:04:56 [Note]: 10002 3
08/23/07 23:04:56 [Note]: 10002 2
08/23/07 23:04:56 [Note]: 10002 2
08/23/07 23:09:02 [Note]: 10002 2
08/23/07 23:09:02 [Note]: 10002 2
08/23/07 23:09:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/23/07 23:09:46 [Note]: 10002 2
08/23/07 23:09:46 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
08/23/07 23:09:46 [Note]: 10002 2
08/23/07 23:11:16 [Note]: 2000 1012
08/23/07 23:11:53 [Note]: 7007 0

(Encor merci pr ton aide ;) )
0
Réponse 13 / 17
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
23 août 2007 à 23:19
re,

1. Télécharge The Avenger par Swandog46 sur ton Bureau:

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau

2. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to unload:
srosa
hidr

Files to delete:

c:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hidr.exe

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Sous "Script file to execute" choisir "Input Script Manually".
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
Cliquer Done
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt

a+
0
Réponse 14 / 17
SpWoof
23 août 2007 à 23:30
Voici le contenu du fichier avenger.txt:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\awsvkmvf

*******************

Script file located at: \??\C:\wccccvro.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver srosa unloaded successfully.


Registry key \Registry\Machine\System\CurrentControlSet\Services\hidr not found!
Unload of driver hidr failed!

Could not process line:
hidr
Status: 0xc0000034

File c:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
File C:\WINDOWS\system32\drivers\hidr.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

-----

J'esper que cela aidera pour avancer dans la supression du(des) virus!
Et encor merci merci et merci pour ton aide c'est super :D !
0
Réponse 15 / 17
SpWoof
23 août 2007 à 23:48
Que fait-il faire maintenant ??????
0
Réponse 16 / 17
SpWoof
24 août 2007 à 00:32
J'ai fait un nouveau scan Blacklight et belle surprise: plus aucuns virus détéctés :D

Alors voila après une journée de recherches (pour moi) et grace à vous j'ai enfin l'esprit tranquille!

Merci beaucoup beaucoup pour votre aide et bonne continuation!

[ Probleme Résolu! ]
0
Réponse 17 / 17
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
24 août 2007 à 22:10
Bonsoir,

désolé du retard!

Content d'avoir pu t'aider!

Dénonce ton infection pour faire condamner les auteurs.


Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne = BAGLE

---> https://malwarecomplaints.info/

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
conforme au règle du forum (age, ville, département etc..)


Indique aussi le nom du Forum qui t'a aidé, CCM!

a+
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Virus MSN Tinyurl
djkifkif -
matt56430 -

8 réponses