Infécté par wintems.exe, que faire?
Fermé
Utilisateur anonyme
-
25 févr. 2008 à 11:19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 3 mai 2008 à 16:43
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 3 mai 2008 à 16:43
A voir également:
- Infécté par wintems.exe, que faire?
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus / Sécurité
- Message iphone infecte par virus ✓ - Forum iPhone
- L'ordinateur d'arthur a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus / Sécurité
- Je viens de recevoir une alerte aux virus sur mon iphone - Forum iPhone
- Alerte windows ordinateur infecté ✓ - Forum Virus / Sécurité
63 réponses
Voici les étapes pour le virus Bagle - Beagle - Megadrv3
Le PC est lent, les antivirus ne marchent plus, vous vous lancer un programme nommé Bagleremover, il ne se lance pas non plus, vous ne pouvez plus redemarrer en mode sans echec (F8), car il plante et reboot
Ca m'a pris 5 heures pour trouver :
Vous avez téléchargé en fait le dernier virus Beagle (surement sur les sites de crack ou Emule..., petits vilains !)
En fait il y a plusieurs programmes dont un en mode noyau (un driver) qui surveille le système et qui tue les processus des antivirus, dès qu'il en voit un.
Première chose à faire : désactiver le mode restauration de Windows XP (Propriétés du Poste de Travail- Restauration système-on coche désactiver la restauration système sur tous les lecteurs
Ensuite on va dans le gestionnaire de périphériques (matériel-gestionnaire de périphériques)
puis affichage- afficher les périphériques cachés
on cherche Megadrv3, on clique deux fois dessus et on choisit en bas : (ne pas utiliser ce périphérique(désactivé))
on redémarre l'ordi en mode normal
A présent Megadrv3 (qui est en fait le fichier srosa.sys n'est plus actif et ne peut plus vous empecher de tuer les processus :
regardez dans le gestionnaire des tâches, tuez les tâches
wintems.exe
puis
hldrrr.exe
puis
un fichier avec un numéro alétaoire.exe du style 92453.exe
A présent le virus n'est plus en mémoire
Allez à présent dans \windows\system32\drivers
affichez les fichiers cachés
supprimez le sous répertoire \Down qui contient pleins de fichiers .exe (plein de copies du virus) ne les exécutez pas, bien sûr.
Ensuite dans \windows\system32\drivers
supprimez :
srosa.sys
et
hldrrr.exe
dans \windows\system32
mdelk.exe
dans \windows
supprimez
wintems.exe
redémarrez le PC
Faites une recherche sur le disque pour vérifier qu'il n'y a plus de srosa.sys, hldrrr.exe, wintems.exe et mdelk.exe
Voilà le vilain Beagle a été tué
ca vous évite de reformater votre PC
Ma signature numérique :
LIP-G -FFST ERAXT RPMLC AEEIA IUTI- EERHD --N-V XLECN ERMUA EE-EI TD--E KINRE CULLE G-AAU ---SV
Le PC est lent, les antivirus ne marchent plus, vous vous lancer un programme nommé Bagleremover, il ne se lance pas non plus, vous ne pouvez plus redemarrer en mode sans echec (F8), car il plante et reboot
Ca m'a pris 5 heures pour trouver :
Vous avez téléchargé en fait le dernier virus Beagle (surement sur les sites de crack ou Emule..., petits vilains !)
En fait il y a plusieurs programmes dont un en mode noyau (un driver) qui surveille le système et qui tue les processus des antivirus, dès qu'il en voit un.
Première chose à faire : désactiver le mode restauration de Windows XP (Propriétés du Poste de Travail- Restauration système-on coche désactiver la restauration système sur tous les lecteurs
Ensuite on va dans le gestionnaire de périphériques (matériel-gestionnaire de périphériques)
puis affichage- afficher les périphériques cachés
on cherche Megadrv3, on clique deux fois dessus et on choisit en bas : (ne pas utiliser ce périphérique(désactivé))
on redémarre l'ordi en mode normal
A présent Megadrv3 (qui est en fait le fichier srosa.sys n'est plus actif et ne peut plus vous empecher de tuer les processus :
regardez dans le gestionnaire des tâches, tuez les tâches
wintems.exe
puis
hldrrr.exe
puis
un fichier avec un numéro alétaoire.exe du style 92453.exe
A présent le virus n'est plus en mémoire
Allez à présent dans \windows\system32\drivers
affichez les fichiers cachés
supprimez le sous répertoire \Down qui contient pleins de fichiers .exe (plein de copies du virus) ne les exécutez pas, bien sûr.
Ensuite dans \windows\system32\drivers
supprimez :
srosa.sys
et
hldrrr.exe
dans \windows\system32
mdelk.exe
dans \windows
supprimez
wintems.exe
redémarrez le PC
Faites une recherche sur le disque pour vérifier qu'il n'y a plus de srosa.sys, hldrrr.exe, wintems.exe et mdelk.exe
Voilà le vilain Beagle a été tué
ca vous évite de reformater votre PC
Ma signature numérique :
LIP-G -FFST ERAXT RPMLC AEEIA IUTI- EERHD --N-V XLECN ERMUA EE-EI TD--E KINRE CULLE G-AAU ---SV
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
1 mars 2008 à 00:53
1 mars 2008 à 00:53
salut,
je ne désinfecte jamais en demandant de désactiver la restauration système.
Et je n'ai pas encore demandé à ce que l'internaute formate l'ordi.
Dans les dernières variantes, je trouve des .exe légitimes infectés. Il me semble qu'il faut les détruire sauf à risquer de voir l'infection reparti au redémarrage.
Il arrive aussi que elibagla identifie et éradique d'autres fichiers comme infectés.
Par contre, je garde l'idée de la désactivation manuelle du périphérique caché megadrv3.
je ne désinfecte jamais en demandant de désactiver la restauration système.
Et je n'ai pas encore demandé à ce que l'internaute formate l'ordi.
Dans les dernières variantes, je trouve des .exe légitimes infectés. Il me semble qu'il faut les détruire sauf à risquer de voir l'infection reparti au redémarrage.
Il arrive aussi que elibagla identifie et éradique d'autres fichiers comme infectés.
Par contre, je garde l'idée de la désactivation manuelle du périphérique caché megadrv3.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
3 mai 2008 à 16:43
3 mai 2008 à 16:43
Bonjour,
Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm
A bientôt
Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm
A bientôt