Impossible de supprimer MDELK

Sanitarium -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

Suit au download d'un crack j'ai attrapé le virus MDELK.
J'ai déjà tout éssayé pour m'en débarasser.
J'ai essayé qlq programmes que ne marchaient pas, comme "reanimator", utilisé "elibagla", qui a supprimé tous les malwares de mon pc sauf mdelk.exe et essayé de démarrer mon ordi en mode sans échec ce qui n'a pas marché.
J'ai localisé l'application sur mon ordi et quand j'essaie de le supprimer il me dit qu'il lui est impossible de lire à partir du fichier ou de la disquette source.
Maintenant je ne sais plus quoi faire et j'ai vraiment besoin d'aide.
Configuration: Windows XP
Internet Explorer 7.0

9 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,
    tu as bagle donc

    fais DEMARRER puis EXECUTER et tape mrt puis suis la procedure
    _______________

    Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    ________________

    colle un nouveau rapport elibaga fais en mode sans echec
    __________________

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr

    _____________________
    1
  2. Sanitarium
     
    salut,

    merci d'avoir répondu.

    malheuresement, ce que tu m'as dit ne marche pas.
    quand j'exécute mrt, le programme commence à scanner mon ordi, mais quand il arrive à un certain fichier, il n'avance plus.
    j'ai déjà essayé plusieurs fois de lancer combofix, je l'ai aussi renomée, mais il ne fonctionne pas. il ne me pose pas de question, et quand j'essaie quand même de taper 1, il ne réagit pas.
    Mode sans échec ne fonctionne pas non plus et j'ai essayé panda online-scanner, ce qui a fait planter mon ordi plusieurs fois.
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    essaye fx bagle 1:
    https://www.broadcom.com/support/security-center

    fx bagle 1

    https://www.broadcom.com/support/security-center

    ______________

    stinger:

    http://download.nai.com/products/mcafee-avert/stng380.exe

    ____________

    sinon

    Rends toi sur ce site :
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    tout en bas de cette page tu trouveras un outil
    à télécharger,clique sur "escargar Elibagla"
    (le numéro de version change au fur et à mesure des mises à jour)
    installe ce fichier sur le bureau.
    ensuite double-clic sur Elibagla.exe
    >laisse la case "eliminar ficheros automaticamente" coché
    >clique sur"explorar"
    >laisse-le travailler
    >poste le rapport final qui sera dans c:\infosat.txt

    Si, dans le rapport, tu vois un texte semblable à celui-ci

    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
    a "virus@satinfo.es". Gracias;

    envoie ce(s) fichier(s)
    (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

    L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer.
    Dans 24 heures environ, sur le site, la version de déchargement
    (v10.24 dans l'exemple) aura changé par rapport à celle actuelle.
    Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.

    __________

    pour le mode sans echec
    https://www.informatruc.com
    0
  4. Sanitarium
     
    avec les 3 premiers programmes, ça n'a pas marché il s'est planté.
    avec elibagla ça allait, mais maintenant, il n'arrête plus de se planter, et quand il se redémarre, il ouvre elibagla toujours et veut rescanner mon ordi.

    Le rapport est ici:

    Sun Mar 02 23:51:41 2008
    EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
    Reinicie para Completar la Limpieza.

    Sun Mar 02 23:52:16 2008
    EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
    Reinicie para Completar la Limpieza.

    Sun Mar 02 23:52:18 2008
    EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

    Sun Mar 02 23:56:08 2008
    EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
    Reinicie para Completar la Limpieza.

    Sun Mar 02 23:59:45 2008
    EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
    C:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
    C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP284\A0058696.EXE --> Eliminado Bagle.dldr
    C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP284\A0059696.EXE --> Eliminado Bagle.dldr
    C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP284\A0060694.EXE --> Eliminado Bagle.dldr

    Nº Total de Directorios: 5284
    Nº Total de Ficheros: 69633
    Nº de Ficheros Analizados: 11972
    Nº de Ficheros Infectados: 5
    Nº de Ficheros Limpiados: 5

    Mon Mar 03 00:08:45 2008
    EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
    Reinicie para Completar la Limpieza.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Sanitarium
     
    J'ai réussi à supprimer mdelk, mais après avoir rescanné mon système, j'ai trouvé srosa.sys.
    J'ai donc essayé de redemarrer en mode sans echec par "demarrer" -> "executer" -> etc.
    alors il a essaye de le faire, mais il n'arrive plus à demarrer, ni en mode sans echec, ni en mode normal.
    il s'allume et demande comment démarrer. Puis il plante.
    et j'ai vraiment plus aucune idee ce que je pourrais faire.
    0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui bagle infecte tous ces fichiers en plus de ce que tu signalé

    C:\WINDOWS\SYSTEM32\WINTEMS.EXE
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE -

    _______________

    si tu es bloqué il faut que tu repare windows: puis refaire combofix, scan en ligne, elibaga

    pour reparer
    http://www.informatruc.com/reparer-windows-xp/

    ou alors formater...
    0
  8. Sanitarium
     
    Pour reparer, j'ai le problème que j'ai seulement un cd de recovery qui supprime tous mes documents, si je l'utilise.
    Il n'y a pas moyen de sauver mes documents, car j'en ai vraiment besoin?
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    normalement si tu fais reparer tes documents ne seront pas touchés
    mais je ne suis pas sur (car il n'y a pas de formatage)

    __________________

    sinon essaye de reparer avec ultimate boot cd

    https://forum.hardware.fr/
    https://forum.hardware.fr/

    ou

    regarde ici
    https://www.commentcamarche.net/list 25 windows xp assistance sauvegarde recuperation reparation

    pour reparer: en passant par le msdos:

    il faut au demarrage , (de memoire) : choisir de demarrer depuis ton cd windows xp pro

    ensuite choisir reparer des que tu en as la possibilité (ce qui permettra de reparer que les fichiers critiques et non remttre tout windows)

    pour
    parvenir a se mettre en msdos ,

    puis saisir

    chkdsk c:

    ou

    chkdsk lecteur /p /r

    La commande chkdsk vérifie le lecteur spécifié et répare ou récupère le lecteur si nécessaire. Elle marque également les secteurs défectueux et récupère les informations lisibles.

    Vous pouvez utiliser les options suivantes :
    /p : effectue une recherche exhaustive du lecteur et corrige les erreurs éventuelles.
    /r : recherche les secteurs défectueux et récupère les informations lisibles.

    Remarque Si vous spécifiez l'option /r, l'option /p est implicite. L'utilisation de la commande chkdsk sans argument vérifie le lecteur en cours sans aucune option.

    Lorsque vous exécutez la commande chkdsk, vous devez utiliser le fichier Autochk.exe. CHKDSK recherche automatiquement ce fichier dans le dossier de démarrage. Si la console de commandes a été préinstallée, le dossier de démarrage se trouve en général dans le dossier Cmdcons. Si CHKDSK ne trouve pas Autochk.exe dans le dossier de démarrage, CHKDSK tente de rechercher le CD-ROM d'installation de Windows. Si la commande ne trouve pas le support d'installation, elle vous demande de fournir l'emplacement du fichier Autochk.exe.
    0