Virus, aide avec Elibagla svp :)
Résolu
Prims-parolier
-
prims-parolier -
prims-parolier -
Bonjour,
voila j'ai a traper un bien bon virus, et aprés une aprés midi entiere de recherche, je suis toujours au point mort.
Donc enfet je ne peux plus utiliser mon pare feu, je ne peux plus installer d anti virus, j'ai essayer d installer avast mais pour le demarer windows me dis que ce n'est pas une application win32 valide... J'ai fais un scan avec ad-aware, il m'a trouver deux trois fichier infécté, mais rien ne change. Je ne peux pas demarer mon pc en mode sans echec car impossible d'utiliser le clavbier ( il est pourtant brancher ) avant l'apparition du bureau...
Je suis sous vista.
J'ai donc essayé de faire un scan avec elibagla, et voici le rapport, mais il me semble que le rapport n'est pas bon , ou qu'il ne s'affiche pas :
Mon Jun 23 15:16:25 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Mon Jun 23 15:16:47 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
J'ai essayer d'autre soft dans le meme genre comme Combofix mais une fois placer sur le bureau, windows me dit que " le service spécifié n'existe pas en tant que servgice installé "
...
J'ai aussi essayer avec tools cleaner, il me repera 4 infection bagla, je l'ai supprime, en vain, impossible d'utiliser un antivirus
AVG Anti rootkit ne fonctione non plus " ... n'est pas un aplication win32 valide "
Voila en gros, c'est peut etre moi qui fait mal les choses aussi lol
Bref je commence a etre déséspéré et je fais appel a votre aideeeeeee :p
Je vous remercie tous d'avance !
voila j'ai a traper un bien bon virus, et aprés une aprés midi entiere de recherche, je suis toujours au point mort.
Donc enfet je ne peux plus utiliser mon pare feu, je ne peux plus installer d anti virus, j'ai essayer d installer avast mais pour le demarer windows me dis que ce n'est pas une application win32 valide... J'ai fais un scan avec ad-aware, il m'a trouver deux trois fichier infécté, mais rien ne change. Je ne peux pas demarer mon pc en mode sans echec car impossible d'utiliser le clavbier ( il est pourtant brancher ) avant l'apparition du bureau...
Je suis sous vista.
J'ai donc essayé de faire un scan avec elibagla, et voici le rapport, mais il me semble que le rapport n'est pas bon , ou qu'il ne s'affiche pas :
Mon Jun 23 15:16:25 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Mon Jun 23 15:16:47 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
J'ai essayer d'autre soft dans le meme genre comme Combofix mais une fois placer sur le bureau, windows me dit que " le service spécifié n'existe pas en tant que servgice installé "
...
J'ai aussi essayer avec tools cleaner, il me repera 4 infection bagla, je l'ai supprime, en vain, impossible d'utiliser un antivirus
AVG Anti rootkit ne fonctione non plus " ... n'est pas un aplication win32 valide "
Voila en gros, c'est peut etre moi qui fait mal les choses aussi lol
Bref je commence a etre déséspéré et je fais appel a votre aideeeeeee :p
Je vous remercie tous d'avance !
120 réponses
p*tain sa marche pas non plus mais aucun programme ne s'execute c'est pas possible, il n y a que elibagle et tools cleaner que j'ai arriver a faire fonctioner... si non si je desinstalle et réinstalle windows vista es ce que sa peut corriger ce probleme ?
Re
Ne te décourages pas déjà l'ami ;)
On va essayer autrement , je l'ai renommé prims.com , il est la :
http://www.zshare.net/
@ +
Ne te décourages pas déjà l'ami ;)
On va essayer autrement , je l'ai renommé prims.com , il est la :
http://www.zshare.net/
@ +
mais peut etre maintenant c'est un probleme qui vien directement du pare feu et que il n y a plus de bagle ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re
Non, c'est Baggle, cadeau de ton crack ...
Je commence "à sécher" devants ton problème ...
J'ai rencontré plusieurs fois Baggle, il est coriace, mais la variante sur ton PC a l'air d'être bien emmerd.... !
Je demande de l'aide.
@ plus.
Non, c'est Baggle, cadeau de ton crack ...
Je commence "à sécher" devants ton problème ...
J'ai rencontré plusieurs fois Baggle, il est coriace, mais la variante sur ton PC a l'air d'être bien emmerd.... !
Je demande de l'aide.
@ plus.
Re
Je n'y crois pas trop, mais essaie tout de même cela :
Essaie d'installer Malwarebyte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tuto: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK.
S'il ne s'est pas lancé tout seul, double-clique sur l'icône de Malwarebyte's Anti-Malware sur ton Bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK
Laisse les Mises à jour se télécharger.
Dis moi ce que cela donne, s'il fonctionne je te dis comment l'utiliser.
@ +
Je n'y crois pas trop, mais essaie tout de même cela :
Essaie d'installer Malwarebyte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tuto: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK.
S'il ne s'est pas lancé tout seul, double-clique sur l'icône de Malwarebyte's Anti-Malware sur ton Bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK
Laisse les Mises à jour se télécharger.
Dis moi ce que cela donne, s'il fonctionne je te dis comment l'utiliser.
@ +
Re
On s'est "croisés"
Regarde au dessus à essayer tout de même ;)
http://www.commentcamarche.net/forum/affich 7037822 virus aide avec elibagla svp?page=2#23
@ +
On s'est "croisés"
Regarde au dessus à essayer tout de même ;)
http://www.commentcamarche.net/forum/affich 7037822 virus aide avec elibagla svp?page=2#23
@ +
Salut Le sioux, Prims-parolier
Toujours aussi virulent l'ami bagle...
En attendant le retour d'info du sioux, tu peux tenter ceci, on sait jamais :
- Télécharge sur ton bureau, KB.exe ici
Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé "KillB", double clic dessus.
Laisse l'outil travailler jusqu'au lancement automatique d'Elibagla.
Une fois fait, le menu principal d'Elibagla apparaîtra :
- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.
/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
Le scan d'Elibagla terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui situé dans C:\Infosat.txt
Bon courage.
Toujours aussi virulent l'ami bagle...
En attendant le retour d'info du sioux, tu peux tenter ceci, on sait jamais :
- Télécharge sur ton bureau, KB.exe ici
Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé "KillB", double clic dessus.
Laisse l'outil travailler jusqu'au lancement automatique d'Elibagla.
Une fois fait, le menu principal d'Elibagla apparaîtra :
- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.
/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
Le scan d'Elibagla terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui situé dans C:\Infosat.txt
Bon courage.
Bonsoir Moé
Merci pour le coup de main. C'est fort apprécié.
Je ne connaissais pas KB.exe
Amicalement, Le sioux.
Merci pour le coup de main. C'est fort apprécié.
Je ne connaissais pas KB.exe
Amicalement, Le sioux.
Bonsoir à tous
De rien, mais ça n'aura pas servis à grand chose :-)
Pour KB, rien de bien spécial, et PhillPCA fait bien de passer et rester dans le coin avec surement quelques cartouches de réserve dans sa manche :-)
Rien de bien spécial et c'est pour çà d'ailleur que je disais "on sais jamais" à Prims-parolier.
En fait KB est basé sur le fait que certains outils renommés en mdelk.exe, (pv.exe dans ce cas et Elibagla), soit le nom d'un des processus de l'infection, arrivent par exemple à arréter les processus infectieux en cours, ce qui permet ensuite à Elibagla (renommé lui aussi) de faire correctement le job pour srosa et le reste des fichiers infectieux.
Apparement sous vista contrairement à XP, pv.exe renommé n'a pas pu faire le job si j'en crois le message qu'à eu Prims-parolier...
Donc voilà, un coup d'épée dans l'eau :-)
A suivre !
@++
De rien, mais ça n'aura pas servis à grand chose :-)
Pour KB, rien de bien spécial, et PhillPCA fait bien de passer et rester dans le coin avec surement quelques cartouches de réserve dans sa manche :-)
Rien de bien spécial et c'est pour çà d'ailleur que je disais "on sais jamais" à Prims-parolier.
En fait KB est basé sur le fait que certains outils renommés en mdelk.exe, (pv.exe dans ce cas et Elibagla), soit le nom d'un des processus de l'infection, arrivent par exemple à arréter les processus infectieux en cours, ce qui permet ensuite à Elibagla (renommé lui aussi) de faire correctement le job pour srosa et le reste des fichiers infectieux.
Apparement sous vista contrairement à XP, pv.exe renommé n'a pas pu faire le job si j'en crois le message qu'à eu Prims-parolier...
Donc voilà, un coup d'épée dans l'eau :-)
A suivre !
@++
Salut
désolé pour la lenteur de ma reponse j'étais aller manger
deja merci pour ton soutient,
j'ai fais ce que tu m'as dit, KillB c'est ouvert mais l'application a afficher accé refusé ( ecrit sur le fond noir ) puis a mis le message d ereur abituel " n'est pas instalé ensuite elibagle s'est ouvert j ai fais le scan et voila le raport
Mon Jun 23 15:16:25 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Mon Jun 23 15:16:47 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
mais encore une fois, a mon avis ce n'est pas vu la longueur du delire mais bon peut etre que je me trompe
voila un screenshot :
http://apu.mabul.org/up/apu/2008/06/23/img-213737tc9nd.jpg.html
voila merci encore
désolé pour la lenteur de ma reponse j'étais aller manger
deja merci pour ton soutient,
j'ai fais ce que tu m'as dit, KillB c'est ouvert mais l'application a afficher accé refusé ( ecrit sur le fond noir ) puis a mis le message d ereur abituel " n'est pas instalé ensuite elibagle s'est ouvert j ai fais le scan et voila le raport
Mon Jun 23 15:16:25 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Mon Jun 23 15:16:47 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
mais encore une fois, a mon avis ce n'est pas vu la longueur du delire mais bon peut etre que je me trompe
voila un screenshot :
http://apu.mabul.org/up/apu/2008/06/23/img-213737tc9nd.jpg.html
voila merci encore
Re
On va chercher ce qui bloque :
Télécharge DiagHelp.zip de Malekal_Morte
sur ton Bureau
- Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clique pas dessus ! Fais un clic droit sur le fichier et « Extraire tout »
- Un nouveau dossier chercher va être créé « DiagHelp »
- Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
Note : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran.
- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redémarrer l'ordinateur... Une fois le PC redémarré, le rapport va apparaître sur le bloc-note.
--> Copie/colle le contenu du bloc-note qui s'ouvre et poste le en réponse ici
Note : le rapport Diaghelp est entre autre sauvegardé sur C:\resultat.txt
@ suivre
On va chercher ce qui bloque :
Télécharge DiagHelp.zip de Malekal_Morte
sur ton Bureau
- Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clique pas dessus ! Fais un clic droit sur le fichier et « Extraire tout »
- Un nouveau dossier chercher va être créé « DiagHelp »
- Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
Note : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran.
- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redémarrer l'ordinateur... Une fois le PC redémarré, le rapport va apparaître sur le bloc-note.
--> Copie/colle le contenu du bloc-note qui s'ouvre et poste le en réponse ici
Note : le rapport Diaghelp est entre autre sauvegardé sur C:\resultat.txt
@ suivre
Re
Puis fais aussi cela :
Télécharge Deckard's System Scanner (DSS)
http://www.techsupportforum.com/sectools/Deckard/dss.exe
ou ici
http://deckard.geekstogo.com/dss.exe sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.
Ferme toutes les applications et fenêtres
Double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous.
/!\ Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.) /!\
* Tu devras cliquer 2 fois sur le OK des boîtes de dialogue
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
* Quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
main.txt <- ouvert en premier plan et en plein écran
extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
* copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
* copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
/!\ N'oublie pas de réactiver les protections si elles ont été stoppées./!\
@ suivre.
PS Si tu as des cracks ou keygens présents sur ce PC supprime les !
Puis fais aussi cela :
Télécharge Deckard's System Scanner (DSS)
http://www.techsupportforum.com/sectools/Deckard/dss.exe
ou ici
http://deckard.geekstogo.com/dss.exe sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.
Ferme toutes les applications et fenêtres
Double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous.
/!\ Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.) /!\
* Tu devras cliquer 2 fois sur le OK des boîtes de dialogue
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
* Quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
main.txt <- ouvert en premier plan et en plein écran
extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
* copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
* copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
/!\ N'oublie pas de réactiver les protections si elles ont été stoppées./!\
@ suivre.
PS Si tu as des cracks ou keygens présents sur ce PC supprime les !
le 2em ne marche pas ( toujours le meme message d'ereur )
Par contre pour le premiere j'ai reussi a le faire demarer quand je clique sur go.cmd, je choisis l'option etc mais sa bug au demarage du scan voici ce que ca fait
http://apu.mabul.org/up/apu/2008/06/23/img-215200752lt.jpg.html
puis la commande sa s'arrete et sa ferme
Par contre pour le premiere j'ai reussi a le faire demarer quand je clique sur go.cmd, je choisis l'option etc mais sa bug au demarage du scan voici ce que ca fait
http://apu.mabul.org/up/apu/2008/06/23/img-215200752lt.jpg.html
puis la commande sa s'arrete et sa ferme
Re
Arrggghh !! damned !
Je vais casser la croûte
Tente cela en attendant :
1) SREng de Smallfrogs
Télécharge SREng de Smallfrogs :
http://www.kztechs.com/eng/download.html
Extraits tout son contenu sur ton Bureau.
Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double-clique sur SREngPS.exe afin de lancer l'outil
Clique sur Smart Scan
Ensuite, clique sur le bouton [Scan]
Lorsque le scan sera terminé, clique sur le bouton [Save Reports]
Sauvegarde le rapport sur ton Bureau.
2) PCA d 'Evosla
Télécharge PCA d 'Evosla : http://ww25.evosla.com/pca_cpt.php?agr=pca_securite
Décompresse le sur ton " Bureau
Lance l'analyse (en haut à gauche) --- enregistre le rapport généré (en bas à droite)
Le rapport va être sauvegardé sur ton Bureau " PCA_LOG.txt "
--->copie/colle-le dans ta prochaine réponse ainsi que le contenu du fichier SREnglLOG.log que tu as sauvegardé sur ton Bureau.
@ toute à l'heure
Arrggghh !! damned !
Je vais casser la croûte
Tente cela en attendant :
1) SREng de Smallfrogs
Télécharge SREng de Smallfrogs :
http://www.kztechs.com/eng/download.html
Extraits tout son contenu sur ton Bureau.
Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double-clique sur SREngPS.exe afin de lancer l'outil
Clique sur Smart Scan
Ensuite, clique sur le bouton [Scan]
Lorsque le scan sera terminé, clique sur le bouton [Save Reports]
Sauvegarde le rapport sur ton Bureau.
2) PCA d 'Evosla
Télécharge PCA d 'Evosla : http://ww25.evosla.com/pca_cpt.php?agr=pca_securite
Décompresse le sur ton " Bureau
Lance l'analyse (en haut à gauche) --- enregistre le rapport généré (en bas à droite)
Le rapport va être sauvegardé sur ton Bureau " PCA_LOG.txt "
--->copie/colle-le dans ta prochaine réponse ainsi que le contenu du fichier SREnglLOG.log que tu as sauvegardé sur ton Bureau.
@ toute à l'heure
sa deconne toujours au meme endroitttttttttttttttttt :@
je vais essayer de supprimer manuellement avec elibagle je croi qu il me montre l'adresse
je vais essayer de supprimer manuellement avec elibagle je croi qu il me montre l'adresse
Salut
Aucun des deux derniers outils préconisé par le sioux ne passent ?
@++
ps:
Est-tu sur d'avoir posté le rapport entier d'elibagla ?
Car à chaques fois ou tu l'as posté, c'était mot pour mot le même.
Les heures de scan ne correspondent pas ainsi que la version contenu dans KB qui aurait du être 11.51.
Aucun des deux derniers outils préconisé par le sioux ne passent ?
@++
ps:
Est-tu sur d'avoir posté le rapport entier d'elibagla ?
Car à chaques fois ou tu l'as posté, c'était mot pour mot le même.
Les heures de scan ne correspondent pas ainsi que la version contenu dans KB qui aurait du être 11.51.
