Précédent
- 1
- 2
- 3
- 4
Voici les étapes pour le virus Bagle - Beagle - Megadrv3
Le PC est lent, les antivirus ne marchent plus, vous vous lancer un programme nommé Bagleremover, il ne se lance pas non plus, vous ne pouvez plus redemarrer en mode sans echec (F8), car il plante et reboot
Ca m'a pris 5 heures pour trouver :
Vous avez téléchargé en fait le dernier virus Beagle (surement sur les sites de crack ou Emule..., petits vilains !)
En fait il y a plusieurs programmes dont un en mode noyau (un driver) qui surveille le système et qui tue les processus des antivirus, dès qu'il en voit un.
Première chose à faire : désactiver le mode restauration de Windows XP (Propriétés du Poste de Travail- Restauration système-on coche désactiver la restauration système sur tous les lecteurs
Ensuite on va dans le gestionnaire de périphériques (matériel-gestionnaire de périphériques)
puis affichage- afficher les périphériques cachés
on cherche Megadrv3, on clique deux fois dessus et on choisit en bas : (ne pas utiliser ce périphérique(désactivé))
on redémarre l'ordi en mode normal
A présent Megadrv3 (qui est en fait le fichier srosa.sys n'est plus actif et ne peut plus vous empecher de tuer les processus :
regardez dans le gestionnaire des tâches, tuez les tâches
wintems.exe
puis
hldrrr.exe
puis
un fichier avec un numéro alétaoire.exe du style 92453.exe
A présent le virus n'est plus en mémoire
Allez à présent dans \windows\system32\drivers
affichez les fichiers cachés
supprimez le sous répertoire \Down qui contient pleins de fichiers .exe (plein de copies du virus) ne les exécutez pas, bien sûr.
Ensuite dans \windows\system32\drivers
supprimez :
srosa.sys
et
hldrrr.exe
dans \windows\system32
mdelk.exe
dans \windows
supprimez
wintems.exe
redémarrez le PC
Faites une recherche sur le disque pour vérifier qu'il n'y a plus de srosa.sys, hldrrr.exe, wintems.exe et mdelk.exe
Voilà le vilain Beagle a été tué
ca vous évite de reformater votre PC
Ma signature numérique :
LIP-G -FFST ERAXT RPMLC AEEIA IUTI- EERHD --N-V XLECN ERMUA EE-EI TD--E KINRE CULLE G-AAU ---SV
Le PC est lent, les antivirus ne marchent plus, vous vous lancer un programme nommé Bagleremover, il ne se lance pas non plus, vous ne pouvez plus redemarrer en mode sans echec (F8), car il plante et reboot
Ca m'a pris 5 heures pour trouver :
Vous avez téléchargé en fait le dernier virus Beagle (surement sur les sites de crack ou Emule..., petits vilains !)
En fait il y a plusieurs programmes dont un en mode noyau (un driver) qui surveille le système et qui tue les processus des antivirus, dès qu'il en voit un.
Première chose à faire : désactiver le mode restauration de Windows XP (Propriétés du Poste de Travail- Restauration système-on coche désactiver la restauration système sur tous les lecteurs
Ensuite on va dans le gestionnaire de périphériques (matériel-gestionnaire de périphériques)
puis affichage- afficher les périphériques cachés
on cherche Megadrv3, on clique deux fois dessus et on choisit en bas : (ne pas utiliser ce périphérique(désactivé))
on redémarre l'ordi en mode normal
A présent Megadrv3 (qui est en fait le fichier srosa.sys n'est plus actif et ne peut plus vous empecher de tuer les processus :
regardez dans le gestionnaire des tâches, tuez les tâches
wintems.exe
puis
hldrrr.exe
puis
un fichier avec un numéro alétaoire.exe du style 92453.exe
A présent le virus n'est plus en mémoire
Allez à présent dans \windows\system32\drivers
affichez les fichiers cachés
supprimez le sous répertoire \Down qui contient pleins de fichiers .exe (plein de copies du virus) ne les exécutez pas, bien sûr.
Ensuite dans \windows\system32\drivers
supprimez :
srosa.sys
et
hldrrr.exe
dans \windows\system32
mdelk.exe
dans \windows
supprimez
wintems.exe
redémarrez le PC
Faites une recherche sur le disque pour vérifier qu'il n'y a plus de srosa.sys, hldrrr.exe, wintems.exe et mdelk.exe
Voilà le vilain Beagle a été tué
ca vous évite de reformater votre PC
Ma signature numérique :
LIP-G -FFST ERAXT RPMLC AEEIA IUTI- EERHD --N-V XLECN ERMUA EE-EI TD--E KINRE CULLE G-AAU ---SV
salut,
je ne désinfecte jamais en demandant de désactiver la restauration système.
Et je n'ai pas encore demandé à ce que l'internaute formate l'ordi.
Dans les dernières variantes, je trouve des .exe légitimes infectés. Il me semble qu'il faut les détruire sauf à risquer de voir l'infection reparti au redémarrage.
Il arrive aussi que elibagla identifie et éradique d'autres fichiers comme infectés.
Par contre, je garde l'idée de la désactivation manuelle du périphérique caché megadrv3.
je ne désinfecte jamais en demandant de désactiver la restauration système.
Et je n'ai pas encore demandé à ce que l'internaute formate l'ordi.
Dans les dernières variantes, je trouve des .exe légitimes infectés. Il me semble qu'il faut les détruire sauf à risquer de voir l'infection reparti au redémarrage.
Il arrive aussi que elibagla identifie et éradique d'autres fichiers comme infectés.
Par contre, je garde l'idée de la désactivation manuelle du périphérique caché megadrv3.
Précédent
- 1
- 2
- 3
- 4
