Hdlrrr.exe - srosa.sys wintemw.exe.vir
Utilisateur anonyme
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
Après avoir lu tout les topics, ici et ailleurs sur le sujet, je suis depuis 3 jours sur le problème.
J'ai fait toutes les manips décrites ici et là avec les derniers anti rootkit et antivirus possible. Les derniers nettoyeurs de BDR
Le problème, c'est que cela revient toujours.
J'ai pu constater en mode sans échec, des connections intempestives à ces sites :
www.cuidatumiembro.com
www.ipromcionales.com
fouadovedia.com
adinforma.com
kamerove-systemy.info
hosting.caravan.ru
datalifecenter.com
demo.portaltapejara.com
programaseducativos-salamanca.com
www.masters.pl
www.enco-group.cz
streetlions.com
hosting.agava.ru
www.concretosfamasa.com
www.bodis.at
www.musikverein-grosswallstadt.de
www.tripplexwelt.de
www.weingut-giegerich.de
galixesol.com
grupoexpansiona.com
guia-femenina.com
qui balancent des cookies et des fichiers dans les fichiers temporaires internet de la session.
Bien entendu, ces fichiers comportent le virus sous la forme de fichiers JPG qui relancent toute la mécanique.
Ces fichiers ne sont visibles qu'en mode sans échec.
Donc il y a bien quelque part un fichier comportant dans son code un appel à ces sites et qui relance le virus.
Ce fichier est indétectable par les antivirus et autres spyware, antirootkit etc.... (J'ai tout essayé et je ne suis pas manchot sur le sujet).
Ma question en fait est : comment trouver ce fichier appelant les sites ci-dessus?
Si ce n'est pas un fichier, c'est dans la BDR à moins que... mais je ne vois rien de particulier dans la BDR.
D'autre part, comment rétablir le "SafeBoot\Minimal y Network" ce que fait elibagle ? Mais il faut lui faire faire un scan complet du disque, car il ne fait cela qu'à la fin du scan.
Après avoir lu tout les topics, ici et ailleurs sur le sujet, je suis depuis 3 jours sur le problème.
J'ai fait toutes les manips décrites ici et là avec les derniers anti rootkit et antivirus possible. Les derniers nettoyeurs de BDR
Le problème, c'est que cela revient toujours.
J'ai pu constater en mode sans échec, des connections intempestives à ces sites :
www.cuidatumiembro.com
www.ipromcionales.com
fouadovedia.com
adinforma.com
kamerove-systemy.info
hosting.caravan.ru
datalifecenter.com
demo.portaltapejara.com
programaseducativos-salamanca.com
www.masters.pl
www.enco-group.cz
streetlions.com
hosting.agava.ru
www.concretosfamasa.com
www.bodis.at
www.musikverein-grosswallstadt.de
www.tripplexwelt.de
www.weingut-giegerich.de
galixesol.com
grupoexpansiona.com
guia-femenina.com
qui balancent des cookies et des fichiers dans les fichiers temporaires internet de la session.
Bien entendu, ces fichiers comportent le virus sous la forme de fichiers JPG qui relancent toute la mécanique.
Ces fichiers ne sont visibles qu'en mode sans échec.
Donc il y a bien quelque part un fichier comportant dans son code un appel à ces sites et qui relance le virus.
Ce fichier est indétectable par les antivirus et autres spyware, antirootkit etc.... (J'ai tout essayé et je ne suis pas manchot sur le sujet).
Ma question en fait est : comment trouver ce fichier appelant les sites ci-dessus?
Si ce n'est pas un fichier, c'est dans la BDR à moins que... mais je ne vois rien de particulier dans la BDR.
D'autre part, comment rétablir le "SafeBoot\Minimal y Network" ce que fait elibagle ? Mais il faut lui faire faire un scan complet du disque, car il ne fait cela qu'à la fin du scan.
14 réponses
--
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Ouais pas la joie!
Quand on sais que une bonne partie de tes problèmes sont évitables avec un minimum de protection.
Pour l'avenir, si tu utilises cette merde de IE ou/et P2P, alors...
Mais pour vacciner ton ou tes navigateurs ,mets ceci :
https://download.cnet.com/SpywareBlaster/3000-8022-10196637.html?part=dl-SpywareBl&subj=dl&tag=button
Tuto: https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpywareBlaster.htm
Et son petit frère :
J'ai pu constater en mode sans échec, des connections intempestives à ces sites :
www.cuidatumiembro.com
www.ipromcionales.com
fouadovedia.com
adinforma.com
kamerove-systemy.info
hosting.caravan.ru
datalifecenter.com
demo.portaltapejara.com
programaseducativos-salamanca.com
www.masters.pl
www.enco-group.cz
streetlions.com
hosting.agava.ru
www.concretosfamasa.com
www.bodis.at
www.musikverein-grosswallstadt.de
www.tripplexwelt.de
www.weingut-giegerich.de
galixesol.com
grupoexpansiona.com
guia-femenina.com
http://www.brightfort.com/sgdownload.html
Ceci est vraiment un minimum ,mais essentiel
C'est à toi de contrôler ta machine et pas aux premier pirate venu ;-)
Alors outilles-toi un peu d'armes avant de re perdre la guerre.
@+ jal
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Ouais pas la joie!
Quand on sais que une bonne partie de tes problèmes sont évitables avec un minimum de protection.
Pour l'avenir, si tu utilises cette merde de IE ou/et P2P, alors...
Mais pour vacciner ton ou tes navigateurs ,mets ceci :
https://download.cnet.com/SpywareBlaster/3000-8022-10196637.html?part=dl-SpywareBl&subj=dl&tag=button
Tuto: https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpywareBlaster.htm
Et son petit frère :
J'ai pu constater en mode sans échec, des connections intempestives à ces sites :
www.cuidatumiembro.com
www.ipromcionales.com
fouadovedia.com
adinforma.com
kamerove-systemy.info
hosting.caravan.ru
datalifecenter.com
demo.portaltapejara.com
programaseducativos-salamanca.com
www.masters.pl
www.enco-group.cz
streetlions.com
hosting.agava.ru
www.concretosfamasa.com
www.bodis.at
www.musikverein-grosswallstadt.de
www.tripplexwelt.de
www.weingut-giegerich.de
galixesol.com
grupoexpansiona.com
guia-femenina.com
http://www.brightfort.com/sgdownload.html
Ceci est vraiment un minimum ,mais essentiel
C'est à toi de contrôler ta machine et pas aux premier pirate venu ;-)
Alors outilles-toi un peu d'armes avant de re perdre la guerre.
@+ jal
Ouais pas la joie!
===========
Comme tu dis, mais c'est fait. Il reste plus qu'à réinstaller toute la quincaille pour travailler
Quand on sais que une bonne partie de tes problèmes sont évitables avec un minimum de protection.
Pour l'avenir, si tu utilises cette merde de IE ou/et P2P, alors...
============
Protection que j'avais.
Navigateur, Firefox mis à jour.
Antivir mise à jour tous les 3 jours
Spybot mise à jour une fois par semaine
Tous mes ports fermés ou cachés (test sur plusieurs sites pour cela)
Live box avec pare feu, pare feu windows activé.
OS mis à jour une fois par semaine.
Pas de crack
Pas d'émule ou kazaa ou je ne sais quoi.
Messagerie Orange (avec anti spam) et chaque message passé au scan.
Je n'ouvre jamais de message de plaisanterie.
Je n'ouvre jamais une pièce jointe "débile".
Disque defrag régulièrement.
Etc...
Etc...
Je fais de la micro depuis les années 80 (compatible trs-80 à l'époque).
Dans le boulot, je dévermine les ordis des collègues, bien que je ne sois pas informaticien, je ne suis pas le premier venu non plus.
J'ai essayé tous ce que j'ai pu trouver en 4 jours.
J'ai bien isolé tous mes soucis, rootkit rosa + trojan bagle. Je pourrais même faire un tuto sur la façon dont-il fonctionnent.
Par contre, ce que je n'ai pas trouvé, c'est comment après nettoyage, démarrage sans échec pour remettre les anti-virus, faire tourner les apllis dans un bac à sable (sandiboxie) ce p..tain d'ordi arrive entre la séance de boot et le démarrage de windows à aller ce connecter sur ces sites pourris pour me réinjecter toute cette m...de.
A devenir fou.
Il y a du soucis à se faire je pense au niveau sécurité, car ce sont des attaques nouvelles tous ces trucs, les rootkits n'existaient pratiquement pas il y a un an.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Ceci est vraiment un minimum ,mais essentiel
C'est à toi de contrôler ta machine et pas aux premier pirate venu ;-)
Alors outilles-toi un peu d'armes avant de re perdre la guerre.
@+ jal
==============
Tu verrais mon artillerie, tu pâlirais d'envie je pense. Et pourtant.........Et je ne pense pas que celui à qui je dois ces 4 jours de galère soit le premier pirate venu.
Mais pour vacciner ton ou tes navigateurs ,mets ceci :
=============
Merci.
===========
Comme tu dis, mais c'est fait. Il reste plus qu'à réinstaller toute la quincaille pour travailler
Quand on sais que une bonne partie de tes problèmes sont évitables avec un minimum de protection.
Pour l'avenir, si tu utilises cette merde de IE ou/et P2P, alors...
============
Protection que j'avais.
Navigateur, Firefox mis à jour.
Antivir mise à jour tous les 3 jours
Spybot mise à jour une fois par semaine
Tous mes ports fermés ou cachés (test sur plusieurs sites pour cela)
Live box avec pare feu, pare feu windows activé.
OS mis à jour une fois par semaine.
Pas de crack
Pas d'émule ou kazaa ou je ne sais quoi.
Messagerie Orange (avec anti spam) et chaque message passé au scan.
Je n'ouvre jamais de message de plaisanterie.
Je n'ouvre jamais une pièce jointe "débile".
Disque defrag régulièrement.
Etc...
Etc...
Je fais de la micro depuis les années 80 (compatible trs-80 à l'époque).
Dans le boulot, je dévermine les ordis des collègues, bien que je ne sois pas informaticien, je ne suis pas le premier venu non plus.
J'ai essayé tous ce que j'ai pu trouver en 4 jours.
J'ai bien isolé tous mes soucis, rootkit rosa + trojan bagle. Je pourrais même faire un tuto sur la façon dont-il fonctionnent.
Par contre, ce que je n'ai pas trouvé, c'est comment après nettoyage, démarrage sans échec pour remettre les anti-virus, faire tourner les apllis dans un bac à sable (sandiboxie) ce p..tain d'ordi arrive entre la séance de boot et le démarrage de windows à aller ce connecter sur ces sites pourris pour me réinjecter toute cette m...de.
A devenir fou.
Il y a du soucis à se faire je pense au niveau sécurité, car ce sont des attaques nouvelles tous ces trucs, les rootkits n'existaient pratiquement pas il y a un an.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Ceci est vraiment un minimum ,mais essentiel
C'est à toi de contrôler ta machine et pas aux premier pirate venu ;-)
Alors outilles-toi un peu d'armes avant de re perdre la guerre.
@+ jal
==============
Tu verrais mon artillerie, tu pâlirais d'envie je pense. Et pourtant.........Et je ne pense pas que celui à qui je dois ces 4 jours de galère soit le premier pirate venu.
Mais pour vacciner ton ou tes navigateurs ,mets ceci :
=============
Merci.
--
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Salut !
Ceci fait plaisir à lire !
Bravo!
Ouais il y a tellement de gens mal sécurisés que ceci devient grave.
À commencer par ce foutu IE.
Oui les Rootkits parles-moi s'en ! ;-)
Souvent ,j'indique comment 'tenter' de sécuriser des machines et je donne des directives de navigations saines puis des astuces pour mieux garder le contrôle ,mais surtout chez les jeunes et le Fast food actuel, ceci semble tellement laborieux et gros qu'ils ne font que la moitié et reviennent brailler 2 mois plus tard.
Ce sont des lucky Lukes de la souris!
Alors on ne sais jamais vraiment à qui on s'adresse ici comme sur les autres forums d'aide.
9 fois sur 10 nous avons affaire à des surfeurs qui ne connaissent rien en sécurité mais qui sont pro du P2P.
Puis qui ont avast et le fameux pare-feu Windows couplé de IE6 .
Je vois que ceci n'est pas ton cas!
Combien crois-tu : téléchargent des fichier ou des 'set-up' vers le bureau et scanne avant d'exécuter ?
Mais il semble que les pirates ont de l'avance pas mal sur nous tous qui tentons de prévenir et qui passons des heures pas possible à guérir.
Mais il est évident que les nouvelles menaces sont légions et de plus en plus sophistiquées. ;-)
Amicalement Jalobservateur @+
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Salut !
Ceci fait plaisir à lire !
Bravo!
Ouais il y a tellement de gens mal sécurisés que ceci devient grave.
À commencer par ce foutu IE.
Oui les Rootkits parles-moi s'en ! ;-)
Souvent ,j'indique comment 'tenter' de sécuriser des machines et je donne des directives de navigations saines puis des astuces pour mieux garder le contrôle ,mais surtout chez les jeunes et le Fast food actuel, ceci semble tellement laborieux et gros qu'ils ne font que la moitié et reviennent brailler 2 mois plus tard.
Ce sont des lucky Lukes de la souris!
Alors on ne sais jamais vraiment à qui on s'adresse ici comme sur les autres forums d'aide.
9 fois sur 10 nous avons affaire à des surfeurs qui ne connaissent rien en sécurité mais qui sont pro du P2P.
Puis qui ont avast et le fameux pare-feu Windows couplé de IE6 .
Je vois que ceci n'est pas ton cas!
Combien crois-tu : téléchargent des fichier ou des 'set-up' vers le bureau et scanne avant d'exécuter ?
Mais il semble que les pirates ont de l'avance pas mal sur nous tous qui tentons de prévenir et qui passons des heures pas possible à guérir.
Mais il est évident que les nouvelles menaces sont légions et de plus en plus sophistiquées. ;-)
Amicalement Jalobservateur @+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
je suis dans le cas de booddha, j'ai ou plutot j'avais bit defender total security 2008 et firefox et pourtant !! impossible de se débarrassé de se virus pourtant considéré par Symantec comme tres minime !
je suis outré
je crois que ce virus va faire énormément de mal avant que les service d'anti virus se charge de réagir !!!
un simple petit anti virus serai le bien venu ...
je rappel que chez moi il a détruit l'anti virus le pare feu toute mes protection anti spy et autre
impossible de trouvé ou il se cache pour se re activé a chaque démarage et pas seulement d'ailleur
puisque j'avais enfin reussi a installé un autre anti virus je n'ai meme pas eu le temps de le lancé qu'il été détruit sens même redémarré le pc
vivement une solution autre que le formatage qui dans mon cas ...plusieur disc dur ne servirai a rien
je suis outré
je crois que ce virus va faire énormément de mal avant que les service d'anti virus se charge de réagir !!!
un simple petit anti virus serai le bien venu ...
je rappel que chez moi il a détruit l'anti virus le pare feu toute mes protection anti spy et autre
impossible de trouvé ou il se cache pour se re activé a chaque démarage et pas seulement d'ailleur
puisque j'avais enfin reussi a installé un autre anti virus je n'ai meme pas eu le temps de le lancé qu'il été détruit sens même redémarré le pc
vivement une solution autre que le formatage qui dans mon cas ...plusieur disc dur ne servirai a rien
--
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Ouais , souvent il faut agir de façons différentes à ce que les implanteurs de merde s'attendent.
Et souvent aussi les solutions sont farfelues et autrement efficaces...
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Ouais , souvent il faut agir de façons différentes à ce que les implanteurs de merde s'attendent.
Et souvent aussi les solutions sont farfelues et autrement efficaces...
Bonjour j'ai peut etre trouvé une solution
Il faut que tu télécharge à partir d'un PC non infecté COMBOFIX. et AVAST une fois fait tu le grave sur un cd non reinscriptible
ensuite tu mets le cd sur le PC infecté et tu lances COMBOFIX a partir du CD
Normalement ca marche
Une fois l'opération réalisée tu réinstalle AVAST ou tout Autre antivirus en prenant soin de lancer un scan au démarrage pour tuer les autres virus
Voilà je suis en train de faire cette manip et COMBOFIX m'a trouve SROSA.EXE
A plus et tiens moi au courant
Il faut que tu télécharge à partir d'un PC non infecté COMBOFIX. et AVAST une fois fait tu le grave sur un cd non reinscriptible
ensuite tu mets le cd sur le PC infecté et tu lances COMBOFIX a partir du CD
Normalement ca marche
Une fois l'opération réalisée tu réinstalle AVAST ou tout Autre antivirus en prenant soin de lancer un scan au démarrage pour tuer les autres virus
Voilà je suis en train de faire cette manip et COMBOFIX m'a trouve SROSA.EXE
A plus et tiens moi au courant
Hello a Tous...
Ex victime de ce Virus Bagle, apres toutes tentatives, Elibagla(qui a juste permis de redemarrer en mode sans echec alors que je pouvais plus), http://www.zonavirus.com/datos/descargas/95/elibagla.asp, SDFix ou ComboFix (https://www.google.fr/?gws_rd=ssl ....Rien n a y fait...Mes applications ne demarraient plus(win32 pas valide)..Et dans ajout suppression programmes presence sur certains programmes d un nouvel icone(bouclier avec 4 fleches) ..J ai du reinstallé Windows sur mon PC Bureau.......Croyez moi...J ai ramé 2 jours avec un pc Portable pour me dépanner sur les forums...Désolé..Mefiez vous des Cracks sur la Mule..
Ex victime de ce Virus Bagle, apres toutes tentatives, Elibagla(qui a juste permis de redemarrer en mode sans echec alors que je pouvais plus), http://www.zonavirus.com/datos/descargas/95/elibagla.asp, SDFix ou ComboFix (https://www.google.fr/?gws_rd=ssl ....Rien n a y fait...Mes applications ne demarraient plus(win32 pas valide)..Et dans ajout suppression programmes presence sur certains programmes d un nouvel icone(bouclier avec 4 fleches) ..J ai du reinstallé Windows sur mon PC Bureau.......Croyez moi...J ai ramé 2 jours avec un pc Portable pour me dépanner sur les forums...Désolé..Mefiez vous des Cracks sur la Mule..
Bonjour,
Mefiez vous des Cracks sur la Mule
Méfiez vous des cracks !
De plus en plus souvent, ils seront infectés.
Mefiez vous des Cracks sur la Mule
Méfiez vous des cracks !
De plus en plus souvent, ils seront infectés.
Bonjour, suite a un pauv' crack sur le P2P :( j'ai fait attention a bien regarder avec mon antivirus (NOD32) et son comportement avec le firewall (kerio)... tout ce passait correctement sauf qd mon antivirus a "giclé" :(
ben voila je me retrouve avec le "rootkit-ver" hldrrr.exe et srosa.sys.. apres quasi toutes les lectures dans les forums, il me semble qu'il a un peu evolué et je retrouve ici les memes caracteristiques que j'ai pu avoir.
A savoir: noms des fichiers hldrrr.exe, srosa.sys dans /windows/system32/drivers/ dezingage des parefeu (kerio) et antivirus (Nod32) et la cerise sur le gateau (sinon je pense que j'aurai pu le bidouiller un peu pour l'enlever..) certaines applications qui ne peuvent se lancer a cause d'un "cette application n'est pas une application Win32 valide".
Je peux meme pas lancer HijackThis et autre anti-rootkit, ou combofix voir installer de nouveaux antivirus donc aussi faire des rapports.
Il n'y a que EliBaglA qui marche et me retrouve ces ptit fichiers hldrrr.exe et srosa.sys mais ca tourne en rond il ne peut que constater..
(D'ailleurs je me posais une question; j'ai eu et pu avoir acces a 2 antivirus en ligne qui demandaient un peu d'installation sur le pc. Et les 2 ont pu se lancer et me detecter ces joyeux drilles... et bien sur l'analyse est gratuite et la DESINFECTION payante.. desolé je ne peux pas, moi encore etudiant et bon... bref je fut tres surpris de voir ces deux applications qui me les reconnaissaient d'un coup, et je pensais que cela allait etre pas trop dure a l'enlever... he ben sur certains site d'antivirus en ligne connu et quasi gratuit -> NON.... encore un truc du style gendarme-voleur, virus-antivirus.. vive le bizness!!! parceque franchement celui la il est costaud... c'est pas un "kiddyscript" mais plutot un voir plusieurs gars qui bossent dans la securité info... bref faut bien faire tourner les antivirus... no comment..)
A part ca je prepare mon HD (sauvegarde) pour un reformatage, j'attends qd meme un peu en esperant que les grosses boites d'antivirus trouvent une solution.
C'est assez marrant, c'est la premiere fois que je dois baisser les bras, pourtant j'en ai connu des virus/vers... ayant un peu l'habitude de remettre des OS ca n'est pas un gros pb, seul petit changement ici mon DD est en Sata, donc un peu nouveau et moins simple de passer sous dos et faire un "menage"... enfin ca j'y travaille!!
AUSSI j'ai Linux en dualboot :), et oui windows pour les jeux et qlq applications, le reste... ^^
Je pensais faire le menage en passant sous linux et effacer tout ces ptit fichiers pas sympa.. seulement il ne peut que lire les partitions NTFS (merci windows XP) et pas ecrire/effacer/modifier... :(
Alors qu'avec un ptit wiondows 98se et son HD en format FAT32, Linux arrive a tout faire sur les fichiers de la partition.
Si qlq un a Linux et connait un prog pour modifier les fichiers NTFS ?? (en esperant que cela soit possible de nos jours...)
SINON bien sur qui aurait ouie dire de la facon dont on "eradique" ce "virus-rootkit-ver" ?
Please lisez bien et je repete:
1. fichiers hldrrr.exe, srosa.sys presents. envoie de données sur site (*.ru, *.com, *.cz, etc..) de ce que j'ai eu le temps de voir par le firewall...
2. impossible d'installer de nouveau antivirus, de faire des rapports par hijack et autre COMBOFIX!! -> cause :" Win32 non valide"
3. enlevement des droits admin, alors que j'avais qu'un seul comppte avec tt les droits ?? (mdr..). Et plus possible de passer en mode sans echec (reussi une fois et apres nada..)
System: Portable DELL INSPIRON 6400
Dualboot XP (Home SP2)/ Linux (Slackware)
HD SATA 100Go
Antivirus NOD32 (enfin non il marche plus ^^)/ Firewall Kerio (ah ben celui la aussi ^^)
ben voila je me retrouve avec le "rootkit-ver" hldrrr.exe et srosa.sys.. apres quasi toutes les lectures dans les forums, il me semble qu'il a un peu evolué et je retrouve ici les memes caracteristiques que j'ai pu avoir.
A savoir: noms des fichiers hldrrr.exe, srosa.sys dans /windows/system32/drivers/ dezingage des parefeu (kerio) et antivirus (Nod32) et la cerise sur le gateau (sinon je pense que j'aurai pu le bidouiller un peu pour l'enlever..) certaines applications qui ne peuvent se lancer a cause d'un "cette application n'est pas une application Win32 valide".
Je peux meme pas lancer HijackThis et autre anti-rootkit, ou combofix voir installer de nouveaux antivirus donc aussi faire des rapports.
Il n'y a que EliBaglA qui marche et me retrouve ces ptit fichiers hldrrr.exe et srosa.sys mais ca tourne en rond il ne peut que constater..
(D'ailleurs je me posais une question; j'ai eu et pu avoir acces a 2 antivirus en ligne qui demandaient un peu d'installation sur le pc. Et les 2 ont pu se lancer et me detecter ces joyeux drilles... et bien sur l'analyse est gratuite et la DESINFECTION payante.. desolé je ne peux pas, moi encore etudiant et bon... bref je fut tres surpris de voir ces deux applications qui me les reconnaissaient d'un coup, et je pensais que cela allait etre pas trop dure a l'enlever... he ben sur certains site d'antivirus en ligne connu et quasi gratuit -> NON.... encore un truc du style gendarme-voleur, virus-antivirus.. vive le bizness!!! parceque franchement celui la il est costaud... c'est pas un "kiddyscript" mais plutot un voir plusieurs gars qui bossent dans la securité info... bref faut bien faire tourner les antivirus... no comment..)
A part ca je prepare mon HD (sauvegarde) pour un reformatage, j'attends qd meme un peu en esperant que les grosses boites d'antivirus trouvent une solution.
C'est assez marrant, c'est la premiere fois que je dois baisser les bras, pourtant j'en ai connu des virus/vers... ayant un peu l'habitude de remettre des OS ca n'est pas un gros pb, seul petit changement ici mon DD est en Sata, donc un peu nouveau et moins simple de passer sous dos et faire un "menage"... enfin ca j'y travaille!!
AUSSI j'ai Linux en dualboot :), et oui windows pour les jeux et qlq applications, le reste... ^^
Je pensais faire le menage en passant sous linux et effacer tout ces ptit fichiers pas sympa.. seulement il ne peut que lire les partitions NTFS (merci windows XP) et pas ecrire/effacer/modifier... :(
Alors qu'avec un ptit wiondows 98se et son HD en format FAT32, Linux arrive a tout faire sur les fichiers de la partition.
Si qlq un a Linux et connait un prog pour modifier les fichiers NTFS ?? (en esperant que cela soit possible de nos jours...)
SINON bien sur qui aurait ouie dire de la facon dont on "eradique" ce "virus-rootkit-ver" ?
Please lisez bien et je repete:
1. fichiers hldrrr.exe, srosa.sys presents. envoie de données sur site (*.ru, *.com, *.cz, etc..) de ce que j'ai eu le temps de voir par le firewall...
2. impossible d'installer de nouveau antivirus, de faire des rapports par hijack et autre COMBOFIX!! -> cause :" Win32 non valide"
3. enlevement des droits admin, alors que j'avais qu'un seul comppte avec tt les droits ?? (mdr..). Et plus possible de passer en mode sans echec (reussi une fois et apres nada..)
System: Portable DELL INSPIRON 6400
Dualboot XP (Home SP2)/ Linux (Slackware)
HD SATA 100Go
Antivirus NOD32 (enfin non il marche plus ^^)/ Firewall Kerio (ah ben celui la aussi ^^)
Bon bon bon par ou commencer... ben deja : j'y suis arrivé.. au bout de cette eradication ^^
Alors que je ne pouvais lancer "Combofix"... j'ai lu qu'en changeant son nom, cela pourrait.... he ben oui: combofix.exe changé en combo-fix.exe (et ca depuis un PC sain, pas infecté)
Le ptit bonhomme se met en route :p apres une longue attente (il fallait ca ^^) et redemarrage Je lance EliBaglA qui me trouve un fichier nommé (dans mon cas) CD?MP3.zip -> Bagle. Donc je cherche ce fichier et l'efface.. miracle il s'efface bien^^
Je relance EliBaglA et la plus rien ^^
Bon c'est pas fini.. je redonne un coup de Combofix (Combo-fix) et encore une fois mais cette fois ci avec l'ancien (sans le nom changé) combofix.. et alors qu'il me mettait WIn32 non valide.. la il marche ^^
encore un coup de EliBaglA... rien.. ca sent bon.. :p
Bien je lance cette fois ci le fameux prog qui avait reussi a fonctionner des le debut et me trouver les BAD FILE, celui ci se prenomme : PrevxCSI. et la plus rien :D a part un malware qui n'etait pas la depuis le debut, mais queneni je le renomme en ".ex_" et je prends un nouveau ficher txt que je renomme comme lui ^^ (srweg.exe) . si il manque vraiment ou sert a qlq chose je le saurais... et en fait la rien.
Donc je rescanne encore avec PrevxCSI et la plus rien ^^ :D un coup d'EliBaglA, rien non plus
Enfin HijackThis qui marche; hop en route.. rien de particulier... mais bon..
on ne sait jamais.. je trouve sur le net un vcleaner.exe de je sais plus qui AVG ou autre, bref je le renomme v-clean.exe ET JE PASSE en mode sans echec. Et enfin ce fameux mode marche ^^; donc je lance le vcleaner.exe (ici v-clean.exe) en mode sans echec et ben il me trouve rien .. arf voila
Je mets un antivirus (enfin plus de "win32 non valide" quel plaisir ^^) ici AVG et hop scan (apres mise a jour bien sur).
Bon je reste mefiant car apparemment certains antivirus, meme connu ne le trouve pas, donc j'ai installé "Active ports" et je jette un oeil si il y a des connexions a des points distant surprises...
Aussi j'ai trouvé un "SpywareBlaster" qui apparemment bloque ou surveille l'activité des navigateurs IE et mozilla.. je l'ai mis au cas ou le temps de voir des eclaircis sur ce pc ^^
sinon autre prog sympa que j'ai trouvé "ccleaner" qui a fait du bien a ma base de registre (entre autre).
Je vais remettre cet excellent firewall qu'est sunbelt kerio (a mon gout) qui avait au moins vu l'arrivée de ce "rootkit-ver" et ne s'est fait dezingué qu'apres l'antivirus, j'etait presque arriver a le bloquer mais la "non-action" de mon antivirus m'a poussé a etre un peu trop confiant dans l' execution de ce fameux fichier from P2P ^^....
Sinon voila pc cleané et cette fois ci j'arrete definitivement les fichiers douteux du P2P, surtout ceux "non-officieux" et pour dire il y en a bp et meme des anciens fichiers dont on croit clean depuis le temps... avec injection de trojan en grosse partie et surtout de leur "cuvée" ceux dont on ne trouvera ptet jamais ..lol ^^
Les "codeurs" ont tellement de mal a hacker un system qu'ils laissent trainer des trojans en attendant que qlq un tombe dessus... alors que je dirais les "vrais" (hackers?!) ont un but et une cible precise; on entre, on voit, on ressort, et on efface les traces... un genre d'arsene lupin ^^
Alors que je ne pouvais lancer "Combofix"... j'ai lu qu'en changeant son nom, cela pourrait.... he ben oui: combofix.exe changé en combo-fix.exe (et ca depuis un PC sain, pas infecté)
Le ptit bonhomme se met en route :p apres une longue attente (il fallait ca ^^) et redemarrage Je lance EliBaglA qui me trouve un fichier nommé (dans mon cas) CD?MP3.zip -> Bagle. Donc je cherche ce fichier et l'efface.. miracle il s'efface bien^^
Je relance EliBaglA et la plus rien ^^
Bon c'est pas fini.. je redonne un coup de Combofix (Combo-fix) et encore une fois mais cette fois ci avec l'ancien (sans le nom changé) combofix.. et alors qu'il me mettait WIn32 non valide.. la il marche ^^
encore un coup de EliBaglA... rien.. ca sent bon.. :p
Bien je lance cette fois ci le fameux prog qui avait reussi a fonctionner des le debut et me trouver les BAD FILE, celui ci se prenomme : PrevxCSI. et la plus rien :D a part un malware qui n'etait pas la depuis le debut, mais queneni je le renomme en ".ex_" et je prends un nouveau ficher txt que je renomme comme lui ^^ (srweg.exe) . si il manque vraiment ou sert a qlq chose je le saurais... et en fait la rien.
Donc je rescanne encore avec PrevxCSI et la plus rien ^^ :D un coup d'EliBaglA, rien non plus
Enfin HijackThis qui marche; hop en route.. rien de particulier... mais bon..
on ne sait jamais.. je trouve sur le net un vcleaner.exe de je sais plus qui AVG ou autre, bref je le renomme v-clean.exe ET JE PASSE en mode sans echec. Et enfin ce fameux mode marche ^^; donc je lance le vcleaner.exe (ici v-clean.exe) en mode sans echec et ben il me trouve rien .. arf voila
Je mets un antivirus (enfin plus de "win32 non valide" quel plaisir ^^) ici AVG et hop scan (apres mise a jour bien sur).
Bon je reste mefiant car apparemment certains antivirus, meme connu ne le trouve pas, donc j'ai installé "Active ports" et je jette un oeil si il y a des connexions a des points distant surprises...
Aussi j'ai trouvé un "SpywareBlaster" qui apparemment bloque ou surveille l'activité des navigateurs IE et mozilla.. je l'ai mis au cas ou le temps de voir des eclaircis sur ce pc ^^
sinon autre prog sympa que j'ai trouvé "ccleaner" qui a fait du bien a ma base de registre (entre autre).
Je vais remettre cet excellent firewall qu'est sunbelt kerio (a mon gout) qui avait au moins vu l'arrivée de ce "rootkit-ver" et ne s'est fait dezingué qu'apres l'antivirus, j'etait presque arriver a le bloquer mais la "non-action" de mon antivirus m'a poussé a etre un peu trop confiant dans l' execution de ce fameux fichier from P2P ^^....
Sinon voila pc cleané et cette fois ci j'arrete definitivement les fichiers douteux du P2P, surtout ceux "non-officieux" et pour dire il y en a bp et meme des anciens fichiers dont on croit clean depuis le temps... avec injection de trojan en grosse partie et surtout de leur "cuvée" ceux dont on ne trouvera ptet jamais ..lol ^^
Les "codeurs" ont tellement de mal a hacker un system qu'ils laissent trainer des trojans en attendant que qlq un tombe dessus... alors que je dirais les "vrais" (hackers?!) ont un but et une cible precise; on entre, on voit, on ressort, et on efface les traces... un genre d'arsene lupin ^^
Bonjour,
tout ceci n'est pas très loin de ce que je t'aurai fait faire.
Ceci dit, avec Combofix, on peut se retrouver très mal.
Pas conseillé de le passer en auto -désinfection.
Surtout si Windows n'est pas totalement légal .
tout ceci n'est pas très loin de ce que je t'aurai fait faire.
Ceci dit, avec Combofix, on peut se retrouver très mal.
Pas conseillé de le passer en auto -désinfection.
Surtout si Windows n'est pas totalement légal .
Bonjour,
bon un peu de neuf.. apres avoir fais ttes ces manip je reinstall kerio.. windows XP se lance plutot bien sauf au debut ou je me retrouve avec un message d'erreur de kpf4ss.exe (firewall kerio) au niveau de l'adressage memoire.. :/
sinon tout ce passe bien, mais ca me parait un peu louche.. donc en remettant petit a petit certains prog.. je m'apercois d'un "win32 non valide" (encore!!!!.. grrrr) sur le prog Spybot...
donc je reinstall spybot... il marche ET LA me trouve 2 clé de registre Win32.bagle.hi (../services/srosa)... aie!
IL EST CORIACE LE BOUGRE!
bon je crois que j'en ai pas encore fini avec lui.. queneni.. spybot m'efface ces clés, je le lance au démarrage pour etre sur qu'il puisse avoir un minimum de controle au debut..
En lisant un peu sur le net avec ce fameux bagle et ses variantes.. je crois que je vais a chaque manip/redemarrage ; "purger le systeme de restauration" (chose que j'avais fait qu'une ou deux fois) (clique droit sur poste de travail-> desactiver systeme restauration)
Je vais me lancer a utiliser un certain "spyware doctor" et faire le max de scan en ligne... bitdefender, nod32, etc... et voir mm kaspersky (qui apparemment dure bien + de 4H :/)
des ptits coup de ccleaner... la suite au prochain episode..
PS: arf mon XP (sp2) est tout ce qui a de plus légale (acquis avec le prtale dell + clé légale) ce qui n'empeche pas d'avoir des pb mdr ^^
bon un peu de neuf.. apres avoir fais ttes ces manip je reinstall kerio.. windows XP se lance plutot bien sauf au debut ou je me retrouve avec un message d'erreur de kpf4ss.exe (firewall kerio) au niveau de l'adressage memoire.. :/
sinon tout ce passe bien, mais ca me parait un peu louche.. donc en remettant petit a petit certains prog.. je m'apercois d'un "win32 non valide" (encore!!!!.. grrrr) sur le prog Spybot...
donc je reinstall spybot... il marche ET LA me trouve 2 clé de registre Win32.bagle.hi (../services/srosa)... aie!
IL EST CORIACE LE BOUGRE!
bon je crois que j'en ai pas encore fini avec lui.. queneni.. spybot m'efface ces clés, je le lance au démarrage pour etre sur qu'il puisse avoir un minimum de controle au debut..
En lisant un peu sur le net avec ce fameux bagle et ses variantes.. je crois que je vais a chaque manip/redemarrage ; "purger le systeme de restauration" (chose que j'avais fait qu'une ou deux fois) (clique droit sur poste de travail-> desactiver systeme restauration)
Je vais me lancer a utiliser un certain "spyware doctor" et faire le max de scan en ligne... bitdefender, nod32, etc... et voir mm kaspersky (qui apparemment dure bien + de 4H :/)
des ptits coup de ccleaner... la suite au prochain episode..
PS: arf mon XP (sp2) est tout ce qui a de plus légale (acquis avec le prtale dell + clé légale) ce qui n'empeche pas d'avoir des pb mdr ^^
C'est dingue hein.
Perso
Achat d'un nouveau HDD
Formattage
Installation
Mise à jour windows update.
Achat de l'antivirus G-DATA.
Réinstallation de mes softs
avec à chaque fois vérification de ce qui se passe.
Well.
Formattage à part de mon ancien DD pour le mettre en sauvegarde.
Well.
Remontage de tout le bouzin.
Well
Scanning des deux disques par mon anti-virus tout neuf.
Well
Scanning du secteur boot des deux HDD.
Well
Sauf que :
Dans le fichier temp de windows un dossier _avast4_ se crée automatiquement ainsi que dans le temp de mon document and setting et celui de l'administrateur.
Effaçage de l'importun.
Boum celui-ci se recrée au bout de quelques minutes.
Je vois qu'un service s'active mais je ne sais pas lequel (trop rapide).
Je n'ai jamais eu AVAST d'installé.
Ce dossier est une faille d'avast gratos.
A part ça, ça roule il semblerait.
En attendant je pense que srosa n'est que la conséquence de quelque chose qui le réinstalle.
Un rootkit qui se déclenche entre le boot de l'ordinateur et le démarrage de Windows et qui fait que Windows est une application de cette salo_perie.
Perso
Achat d'un nouveau HDD
Formattage
Installation
Mise à jour windows update.
Achat de l'antivirus G-DATA.
Réinstallation de mes softs
avec à chaque fois vérification de ce qui se passe.
Well.
Formattage à part de mon ancien DD pour le mettre en sauvegarde.
Well.
Remontage de tout le bouzin.
Well
Scanning des deux disques par mon anti-virus tout neuf.
Well
Scanning du secteur boot des deux HDD.
Well
Sauf que :
Dans le fichier temp de windows un dossier _avast4_ se crée automatiquement ainsi que dans le temp de mon document and setting et celui de l'administrateur.
Effaçage de l'importun.
Boum celui-ci se recrée au bout de quelques minutes.
Je vois qu'un service s'active mais je ne sais pas lequel (trop rapide).
Je n'ai jamais eu AVAST d'installé.
Ce dossier est une faille d'avast gratos.
A part ça, ça roule il semblerait.
En attendant je pense que srosa n'est que la conséquence de quelque chose qui le réinstalle.
Un rootkit qui se déclenche entre le boot de l'ordinateur et le démarrage de Windows et qui fait que Windows est une application de cette salo_perie.
Bonsoir,
Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt
Si, dans le rapport, tu vois un texte semblable à celui-ci
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;
envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).
Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt
Si, dans le rapport, tu vois un texte semblable à celui-ci
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;
envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).
