Virus, aide avec Elibagla svp :) Résolu

Question

Bonjour,
voila j'ai a traper un bien bon virus, et aprés une aprés midi entiere de recherche, je suis toujours au point mort.
Donc enfet je ne peux plus utiliser mon pare feu, je ne peux plus installer d anti virus, j'ai essayer d installer avast mais pour le demarer  windows me dis que ce n'est pas une application win32 valide... J'ai fais un scan avec ad-aware, il m'a trouver deux trois fichier infécté, mais rien ne change. Je ne peux pas demarer mon pc en mode sans echec car impossible d'utiliser le clavbier ( il est pourtant brancher ) avant l'apparition du bureau...
Je suis sous vista.
J'ai donc essayé de faire un scan avec elibagla, et voici le rapport, mais il me semble que le rapport n'est pas bon , ou qu'il ne s'affiche pas :



	  Mon Jun 23 15:16:25 2008
EliBagle v11.50  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Mon Jun 23 15:16:47 2008
EliBagle v11.50  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.



J'ai essayer d'autre soft dans le meme genre comme Combofix mais une fois placer sur le bureau, windows me dit que " le service spécifié n'existe pas en tant que servgice installé "
...
J'ai aussi essayer avec tools cleaner, il me repera 4 infection bagla, je l'ai supprime, en vain, impossible d'utiliser un antivirus
AVG Anti rootkit ne fonctione non plus " ... n'est pas un aplication win32 valide "

Voila en gros, c'est peut etre moi qui fait mal les choses aussi lol
Bref je commence a etre déséspéré et je fais appel a votre aideeeeeee :p


Je vous remercie tous d'avance !

FillPCA · Accepted Answer

Salut,

Je me doutais qu'on en arriverait là. Plus de crack maintenant. Je pense que la leçon est intégrée.

FillPCA

K@mu]i[ · Answer

Salut


Je me pose des questions car normalement bagle n'est pas sous vista, cependant, va voir sur ce site qui te permettra de télécharger les remèdes à ton infection : 

http://www.secuser.com/telechargement/desinfection.htm

Tu auras tous les utilitaires nécessaire à l'éradication de ton virus ;)

Tiens moi au jus

@+++

prims-parolier · Answer

OK sa va je te remercie pour ta reponse mais tous marche ou sa va faire comme les autres soft que j'ai tester ? y'en a t il un qui est le plus efficace ?

Merci encore :)

Le sioux · Answer

Bonsoir Prism-parolier

Le virus Baggle s'attrappe via des cracks ...

@ lire par la suite :

 L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks : http://forum.malekal.com/ftopic893.php

Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

Tout d'abord, Elibaggla te dis :"Reinicie para Completar la Limpieza."

--> Cela veut dire de repasser l'outil une seconde fois.

Est ce que le mode sans échec fonctionne ? S'il fonctionne, alors repasse Elibaggla en mode sans échec et poste le rapport généré.

@ suivre

Malekal_morte- · Answer

heu... les fix là de secuser.com, c'est pour des variantes de bagle de 2004..
Bref les vers du temps de mydoom, netsky tout ça....
Ils servent plus à rien ou casi à rien maintenant vu que la majorité des serveurs SMTP en France ont des antivirus. Je veux dire, faut vraiment être une truffe pour se faire infecter par ces variantes :)

Ce Bagle maintenant c'est surtout des cracks sur emule. (ça vous fait les pieds)
Ils suppriment les antivirus/antispywares, firewall (ou donne l'erreur win32).
Il supprime les clefs Safeboot pour empécher le redémarrage en mode sans échec.
Il a des fonctionnalités de rootkit et peut patcher l'exécutable d'un programme au pif qui se lance au démarrage de Windows pour réinstaller l'infection en cas de de tentative de suppression.

Bref rien à voir avec les variantes de 2004.

Voir le sujet de Kimberly (en anglais), vous devriez aller voir : http://www.bluetack.co.uk/forums/index.php?showtopic=18336

prims-parolier · Answer

salut le sioux,
le scan avec elibagle je l'ai fait trois ou quatre fois et a chaque fois durant le scan il m'affichait les messages de fichiers infécté avec " ok " si je di pas de betises,
si non pour le mode sans echecs je n'ai pas essayer et je ne peux le faire car comme je l'ai expliqué enfet le clavier est ne marche pas avant que windows charge et s'affiche, pourtant il est branché, donc les touches directionel et f8 ne fonctione pas quand j appuis dessus au tout debut...

Si non je suis bien sous vista et eliagle fonctioneee ;)

Le sioux · Answer

Re Bonjour Malekal ;) OK, on passe à "l'artillerie lourde" ;) suis bien mes consignes stp. 1) Désactive le contrôle des comptes utilisateurs : (Tu le réactiveras après ta désinfection) - Vas dans le menu Démarrer puis Panneau de configuration - Double Clique sur l'icône "Comptes d'utilisateurs" - Clique ensuite sur Désactiver etValide. Un redémarrage sera nécessaire. 2) ComboFix.exe de sUBs ComboFix.exe de sUBs sur ton Bureau. /!\ Lors du téléchargement, renomme le en Combo-Fix sinon, il sera "tué" par Baggle et deviendra inutilisable. /!\ Regarde ici comment faire https://forum.pcastuces.com/sujet.asp?f=25&s=37315 http://download.bleepingcomputer.com/sUBs/ComboFix.exe /!\ Déconnecte toi du net et désactive ton antivirus pour que ComboFix puisse s'exécuter normalement. /!\ Clique droit sur Combofix.exe puis "Exécuter en tant qu'administrateur" Un "pop-up" va apparaître qui dit que "la version ComboFix est utilisé à vos risques et avec aucune garantie..". Accepte en cliquant sur "Oui" Mets le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis /!\ Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt @ suivre

Prims-parolier · Answer

Alors, je veux pas faire le mec chiant mais enfet le meme probleme m'a empecher de faire ca tout a l heure,
enfet je n'arrive pas a desactiver le controle des contes d'utilisateur, je ne sais pas si c'est normal mais il y une petite icone du pare feu a coter et quand je clique sur "activer ou desactiver le controle des contes d utilisateur " rien ne se passe ... 1 probleme de plus 1 !

Encore désolé

Le sioux · Answer

Re

C'est pour cela que j'ai ajouté de bien suivre mes consignes ... je t'ai écrit :

/!\ Lors du téléchargement, renomme le en Combo-Fix sinon, il sera "tué" par Baggle et deviendra inutilisable. /!\

Regarde ici comment faire https://forum.pcastuces.com/sujet.asp?f=25&s=37315 

Voili, voila ...

Prims-parolier · Answer

non sa je sais mais enfet moi je te parle de la toute premiere chose que tu me demande de faire

>> " 1) Désactive le contrôle des comptes utilisateurs : 
(Tu le réactiveras après ta désinfection) 

- Vas dans le menu Démarrer puis Panneau de configuration 
- Double Clique sur l'icône "Comptes d'utilisateurs" 
- Clique ensuite sur Désactiver etValide. 

Un redémarrage sera nécessaire.  "

Je ne peux pas ouvrir l'option " desactiver le contre des comptes d utilisateurs "

Le sioux · Answer

Re

OK, passe au 2) ...

@ suivre ;)

prims-parolier · Answer

J'ai suivis les instructions... toujours pareils
regarde ce que sa fait


https://www.casimages.com/i/0806230657123789487.jpg.html

Le sioux · Answer

re

Aie aie ... Jette ComboFix sur ton Bureau et ré essaye de le télécharger et de le nommer renomme.com

voir ce que cela donne.

Prims-parolier · Answer

argggggggggggggggggggggggg... sa marche pas :'(

Le sioux · Answer

Re

On va essayer autrement :

Télécharge Blacklight de F-Secure

ftp://ftp.f-secure.com/f-prot/tools/fsbl.exe

Enregistre le sur ton Bureau.
Double-clique fsbl.exe
Clique sur "I ACCEPT" .
Clique sur  Scan puis sur  Next

Patiente le temps du scan, puis tu verras une liste de fichiers détectés apparaître. 

Tu verras également un rapport,sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Ne pas choisir l'option "Rename" .

Copie et colle le contenu de ce rapport dans ta prochaine réponse.

@ suivre

Prims-parolier · Answer

je l'ai malheuresement deja essayer, sa fais exactement le meme resultat... et la encore je vien de réessayer...

Le sioux · Answer

Re

On va essayer autrement

1. Télécharger The Avenger par Swandog46 sur ton Bureau.

Je l'ai renommé pour toi en renommer.exe ici  http://www.zshare.net/

2. Copie tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):


Begin copying here:

Drivers to disable:
srosa
hldrrr

Drivers to delete:
srosa
hldrrr

Files to delete:
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys


/!\ Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système./!\

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

    * Sous "Script file to execute" choisis "Input Script Manually".
    * Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
    * Dans cette fenêtre, colle le texte précédemment copié sur le Bureau par les touches (Ctrl+V).
    * Cliquer Done
    * Ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
    * Répondre "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

    * Il va re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
    * Pendant le re-démarrage, il apparaîtra brièvement une fenêtre de commande de Windows noire sur votre Bureau, ceci est NORMAL.
    * Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaître les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    * The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse 

@ suivre

Prims-parolier · Answer

p*tain sa marche pas non plus mais aucun programme ne s'execute c'est pas possible, il n y a que elibagle et tools cleaner que j'ai arriver a faire fonctioner... si non si je desinstalle et réinstalle windows vista es ce que sa peut corriger ce probleme ?

Le sioux · Answer

Re

Ne te décourages pas déjà l'ami ;)

On va essayer autrement , je l'ai renommé prims.com , il est la :

http://www.zshare.net/

@ +

Prims-parolier · Answer

C'est pareil mais a mon avis sa viens des softs

Prims-parolier · Answer

mais peut etre maintenant c'est un probleme qui vien directement du pare feu et que il n y a plus de bagle ?

Le sioux · Answer

Re

Non, c'est Baggle, cadeau de ton crack ...

Je commence "à sécher" devants ton problème ...

J'ai rencontré plusieurs fois Baggle, il est coriace, mais la variante sur ton PC a l'air d'être bien emmerd.... !

Je demande de l'aide.

@ plus.

Prims-parolier · Answer

d'acc je te remercie beaucoup en tout cas pour ton aideeeeeeeeeeeeeeeeeee !!

Le sioux · Answer

Re

Je n'y crois pas trop, mais essaie tout de même cela :

Essaie d'installer  Malwarebyte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tuto:  https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware »  soit cochée. >>> clique sur OK. 
S'il ne s'est pas lancé tout seul, double-clique sur l'icône de Malwarebyte's Anti-Malware sur ton Bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK
Laisse les Mises à jour se télécharger.

Dis moi ce que cela donne, s'il fonctionne je te dis comment l'utiliser.

@ +

Le sioux · Answer

Re

On s'est "croisés"

Regarde au dessus à essayer tout de même ;)

http://www.commentcamarche.net/forum/affich 7037822 virus aide avec elibagla svp?page=2#23

@ +

Prims-parolier · Answer

et bun pour changer, non sa ne marche pas non plus, il rend fou cette ******

Le sioux · Answer

Re

OK, donc "en stand by" pour le moment, j'attends coup de main.

Je te tiens au courant. 

@ plus

moe · Answer

Salut Le sioux, Prims-parolier

Toujours aussi virulent l'ami bagle...

En attendant le retour d'info du sioux, tu peux tenter ceci, on sait jamais :

- Télécharge sur ton bureau, KB.exe ici

Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé "KillB", double clic dessus.
Laisse l'outil travailler jusqu'au lancement automatique d'Elibagla.

Une fois fait, le menu principal d'Elibagla apparaîtra :

- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.

/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.

Le scan d'Elibagla terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui situé dans C:\Infosat.txt

Bon courage.

Le sioux · Answer

Bonsoir Moé

Merci pour le coup de main. C'est fort apprécié.

Je ne connaissais pas KB.exe 

Amicalement, Le sioux.

FillPCA · Answer

Salut à tous,

Pour suivre !

FillPCA

prims-parolier · Answer

Salut
désolé pour la lenteur de ma reponse j'étais aller manger
deja merci pour ton soutient,
j'ai fais ce que tu m'as dit, KillB c'est ouvert mais l'application a afficher accé refusé ( ecrit sur le fond noir ) puis a mis le message d ereur abituel " n'est pas instalé ensuite elibagle s'est ouvert j ai fais le scan et voila le raport 


	  Mon Jun 23 15:16:25 2008
EliBagle v11.50  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Mon Jun 23 15:16:47 2008
EliBagle v11.50  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.


mais encore une fois, a mon avis ce n'est pas vu la longueur du delire mais bon peut etre que je me trompe
voila un screenshot :


http://apu.mabul.org/up/apu/2008/06/23/img-213737tc9nd.jpg.html


voila merci encore

Le sioux · Answer

Re

On va chercher ce qui bloque :

Télécharge DiagHelp.zip de Malekal_Morte 
sur ton Bureau 
- Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clique pas dessus ! Fais un clic droit sur le fichier et  « Extraire tout » 
- Un nouveau dossier chercher va être créé  « DiagHelp » 

- Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

Note : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan,  suis bien les instructions à l'écran. 

- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redémarrer l'ordinateur... Une fois le PC redémarré, le rapport va apparaître sur le bloc-note.

-->  Copie/colle le contenu du bloc-note qui s'ouvre et poste le en réponse ici

Note : le rapport Diaghelp est entre autre sauvegardé sur C:\resultat.txt

@ suivre

Le sioux · Answer

Re

Puis fais aussi cela :

Télécharge Deckard's System Scanner (DSS)

http://www.techsupportforum.com/sectools/Deckard/dss.exe
ou ici
http://deckard.geekstogo.com/dss.exe sur ton Bureau.

NB : Tu dois être connecté avec des droits d'Administrateur.

Ferme toutes les applications et fenêtres
Double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous.

/!\ Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.) /!\

* Tu devras cliquer 2 fois sur le OK des boîtes de dialogue
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée

* Quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :

main.txt <- ouvert en premier plan et en plein écran
extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)

* copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
* copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)

/!\ N'oublie pas de réactiver les protections si elles ont été stoppées./!\

@ suivre.

PS  Si tu as des cracks ou keygens  présents sur ce PC supprime les !

prims-parolier · Answer

le 2em ne marche pas ( toujours le meme message d'ereur ) 
Par contre pour le premiere j'ai reussi a le faire demarer quand je clique sur go.cmd, je choisis l'option etc mais sa bug au demarage du scan voici ce que ca fait

http://apu.mabul.org/up/apu/2008/06/23/img-215200752lt.jpg.html

puis la commande sa s'arrete et sa ferme

Le sioux · Answer

Re

Arrggghh !! damned !

Je vais casser la croûte 

Tente cela en attendant :

1) SREng de Smallfrogs

Télécharge SREng de Smallfrogs :

http://www.kztechs.com/eng/download.html

Extraits tout son contenu sur ton Bureau.
Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double-clique sur SREngPS.exe afin de lancer l'outil
Clique sur Smart Scan

Ensuite, clique sur le bouton [Scan]

Lorsque le scan sera terminé, clique sur le bouton [Save Reports]

Sauvegarde le rapport sur ton Bureau.

2) PCA d 'Evosla

Télécharge PCA d 'Evosla : http://ww25.evosla.com/pca_cpt.php?agr=pca_securite 

Décompresse le sur ton " Bureau

Lance l'analyse (en haut à gauche) --- enregistre le rapport généré (en bas à droite)

Le rapport va être sauvegardé sur ton Bureau " PCA_LOG.txt " 

--->copie/colle-le dans ta prochaine réponse ainsi que le contenu du fichier SREnglLOG.log que tu as sauvegardé sur ton Bureau.

@ toute à l'heure

prims-parolier · Answer

sa deconne toujours au meme endroitttttttttttttttttt :@
je vais essayer de supprimer manuellement avec elibagle je croi qu il me montre l'adresse

moe · Answer

Salut

Aucun des deux derniers outils préconisé par le sioux  ne passent ?

@++

ps: 
Est-tu sur d'avoir posté le rapport entier d'elibagla ?
Car à chaques fois ou tu l'as posté, c'était mot pour mot le même.
Les heures de scan ne correspondent pas ainsi que la version contenu dans KB qui aurait du être 11.51.

prims-parolier · Answer

aucune des proposition du sioux ne fonctione, mais par contre il me semblait bien que le rapport n'etais pa correct, pourtant j'ai bien mis elibagle sur le bureau, quand je clique dessus il extrait des fichiers il s ouvre je fais le scan puis je fais sur le lecteur c:/ et double clique sur infosat... je vais réessayer

FillPCA · Answer

Re,

Je suis très surpris que les 2 outils bloquent. Je doute que pca soit bloqué par Bagle.

Je l'ai déjà passé avec succès sur ces infections.

Tu es sous Vista, donc tu dois faire un clic droit sur les programmes pour avoir les privilèges administrateurs. Je pense que les restrictions viennent de là.

Ré-essaie ainsi pour DiagHelp et SREnG.

FillPCA

Utilisateur anonyme · Answer

Bonsoir tout le monde!!

Pour suivre merci

moe · Answer

re,

Bien vu FillPCA, effectivement ça devrait faciliter un peu plus les choses :-)

@++

prims-parolier · Answer

salut FillPCA,
je t'assure que pour les deux proposition aucune solution, spreng : " le service spécifié n'existe pas en tant que service installé " et pourtant je suis les premieres instructions a la lettre, meme quand je fais clique droit executer en tant qu'administrateur, meme message d'erreur...

et  pour elibagle, meme probleme, encore le meme rapport...

prims-parolier · Answer

j'ai un cd boot linux, je vais essayer de voir ce que sa donne...

Le sioux · Answer

Re

Bon, j'ai fini de me "remplir l'estomac" mais je vois, hélas, qu'on en est au même point -->  blocage ++

On a la chance d'avoir plusieurs cerveaux en ébullition sur ce coup la ... moi, je sèche un peu ...

Merci à Moé et FillPCA  pour le soutien.

FillPCA · Answer

Re,

Ta partition est-elle en Fat32 ou NTFS ?

1/ # Télécharge ceci (par sUBs) sur ton Bureau : https://spaces.hightail.com/resolve/ufid/294CAADA7C63FC96
# fais un clic droit sur feinte.com et suis les invites.
# Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
# Si tu ne le trouves pas, il est là : C:\ComboFix.txt
# Ce guide permet de suivre les étapes de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

2/     * Télécharge Elibagla en bas de cette page sur ton Bureau : http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Pour cela, clique sur "Descargar Elibagla",
    * Lance-le de préférence en mode sans échec, ou en mode normal si le mode sans échec ne fonctionne pas.
    * Bagle peut bloquer le mode sans échec, donc il ne faut absolument pas forcer le mode sans échec en passant par MSconfig. Cela peut provoquer un redémarrage en boucles du PC.
    * Patiente pendant la durée du Scan.
    * Copie-colle le contenu du rapport qui doit se trouver ici : C:\Infosat.txt

FillPCA

prims-parolier · Answer

... la premiere proposition ne marche pas , comme toute les applications que j'ai mise sur le bureau, je pense que tous les autres feront pareil...

SI non pour elibagle, c'est toujhours le meme soussaye, le rapport est toujours le meme et impossible de demarer en mode sans echec, les touches directionel ne fonctionent pas...

mais merci quand meme de ton aide FillPCA !!

Utilisateur anonyme · Answer

re

essai ceci :



pour réparer le mode sans echec : 
http://www.malekal.com/download/SafeBoot.reg 
Et choisis " enregistrer la cible sous" afin de télécharger SafeBoot.reg sur ton Bureau. 
Doubles clique dessus et acceptes la fusion avec le registre. 

ensuite redémarre donc en mode sans echec et passe elibagla 3 fois et envoi nous le rapport stp

Le sioux · Answer

Hello Chiquitine

Déjà demandé pour le mse : http://www.commentcamarche.net/forum/affich 7037822 virus aide avec elibagla svp#5

galère, galère ...

prims-parolier · Answer

c:\users\NIOR\desktop\safeBoot.reg

le service spécifié n'existe pas en tant que service installé


c'est toujours ce p*uta*n de message qui s'affiche !

Utilisateur anonyme · Answer

C Est vrai que ce message est etrange : le service spécifié n'existe pas en tant que service installé 


d habitude on a ceci n est pas une appliquation win32 valide ......

FillPCA · Answer

Salut,

En relisant le sujet, j'ai un doute : l'UAC est-elle désactivée :https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html

Tu n'as pas répondu à ma question : la partition est-elle en Fat32 ou NTFS ?

FillPCA

prims-parolier · Answer

a oué mais c'est parce qu'enfet la question je la comprend pas :s

FillPCA · Answer

Re,

Va dans poste de travail, fais un clic droit sur la partition qui contient le système et regarde dans propriétés si c'est précisé NTFS ou Fat32.

Et n'oublie pas de me dire pour l'UAC.

FillPCA

prims-parolier · Answer

c'est en NTFS

Le sioux · Answer

Prims

Voila une petite explication sur ce que c'est http://www.jurixt.com/xp/xp_15.htm

FillPCA · Answer

Bon, c'est plutôt bien.

Et l'UAC ? Est-elle désactivée ?

FillPCA

prims-parolier · Answer

et bun enfet l'uac quand je veux la desactiver et que je clique sur desactiver(...) rien de se passe

FillPCA · Answer

Re,

Je suis persuadé que tout vient de là.

FillPCA

prims-parolier · Answer

oui surement mais comme je disai talleur c'est pas un probleme qui vient directement du pare feu ?

prims-parolier · Answer

meme si ca na rien a voir

Le sioux · Answer

Re

Comme dit par FillPCA, cela n'arrange pas les choses que l'UAC soit bloqué ainsi... cela pourrait expliquer le blocage de certains outils qui devraient pouvoir s'exécuter même si présence de Baggle ...

Utilisateur anonyme · Answer

re

pour desactiver l uac:

- Vas dans "Démarrer" puis Panneau de configuration. 
- Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs. 
- Clique sur Continuer. 
- Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur. 
- Valide par OK et redémarre.

FillPCA · Answer

Non. Tu as téléchargé un crack qui bousille toutes les protections (pare-feu, antivirus), et le Wifi et depuis quelques semaines, on constate qu'il devient de plus en plus sophistiqué.

Essaie de désactiver l'UAC avec ceci : https://www.winability.com/tweak-uac/

Puis essaie de lancer feinte.com au moyen d'un clic droit.

FillPCA

prims-parolier · Answer

"Activer ou désactiver le contrôle des comptes d'utilisateurs." ne marche pas ! quand je clique dessus rien ne se passe

prims-parolier · Answer

Fill, le programme pour desactiver l'uac, je ne peux pas l'ouvrir, ca me met toujours le message d'erreur

moe · Answer

re,

Etonnant... il me semblait que bagle désactivait l'UAC via :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
EnableLUA -> 0

non ?

Peut-être en passant par exécuter > msconfig > outils > désactiver l'UAC  ?

@+

FillPCA · Answer

Re,

Ce qui est étonnant, c'est qu'on a ici l'impression que la désactivation est impossible.
Il serait intéressant d'avoir une capture d'écran pour qu'on voit ce qui apparait à l'écran.

A demain ! La couette m'appelle.

FillPCA

Le sioux · Answer

Re

Bonne nuit Phil, Moé, et encore merci pour le coup de main.

Bonne nuit prims parolier; @ demain fin d'après midi "pour mon compte"  ;)

@ très bientôt. ;)

prims-parolier · Answer

grave merci a blok ! demain si t es toujours present je te fais péter la capture d'ecran et tout ca ! merci encore a tous d'avoir fais votre possible... je vais me coucher...

a suivre

padup · Answer

Yo.il serait intéressant de voir si LopS&D parviendrait a désactiver cette ....d'UAC
en principe il la désactive en premier dans l'option 1.
Si ça marche en profiter pour passer un ou même 2 coups de CF renommé. 

Ne pas négliger le fait que le blocage de la procédure provient aussi du clavier
certainement en USB,lpas pris en charge dans le bios:
 USB Device Legacy Support ou All peripherals USB et définir l'option sur ENABLED.
En général dans le menu Integrated Peripherals.

Le problème ne se poserait pas de la même façon avec un ps/2.
un changement de clavier ferait avancer les choses.

prims-parolier · Answer

salut padup,

pour le clavier , celui que j'utilise en general il est en usb, mais j'ai deja essayer avec un clavier normal ( avec la prise vert ? ) ca fais pareil , impossible de l'utiliser... Si non pour desactiver l'uac, avec les application a mettre sur le bureau ou quoi sa sert a rien sa ne marchera pas, il y aura toujours ce p*ta*n de message qui s'affichera...

SI non peut etre en passant par l'invité de commande, ou executer peut etre ?

FillPCA · Answer

Salut,

    * Télécharge OTScanIt de Old_Timer sur ton Bureau : http://download.bleepingcomputer.com/oldtimer/OTScanIt.exe
    * Désactive temporairement ton antivirus (pas le pare-feu).
    * Fais un double-clic sur l'archive pour dézipper le dossier sur ton Bureau,
    * Ceci crée un dossier OTScanIt sur ton Bureau,
    * !! Tu dois avoir ouvert un compte disposant de droits administrateurs pour exécuter le programme !!
    * Ferme tous les autres programmes à l'exception du navigateur,
    * Ouvre le dossier OTScanIt et fais un double-clic sur le fichier OTScanIt.exe (si tu es sous Vista, fais un clic droit sur OTScanIt.exe et choisis d'exécuter en tant qu'administrateur),
    * Dans la section Drivers, clique sur Non-Microsoft,
    * Dans la section Rootkit Searchs, choisis Yes.
    * Sous Additional Scans, coche la case située devant les éléments suivants pour les sélectionner :
          o Reg - BotCheck,
          o Reg - Controlsets
          o Reg - Safe Boot Options
          o File - Additionnal Folder Scan
    * Ne modifie aucun autre paramètre,
    * Ensuite, clique sur le bouton Run Scan dans la barre d'outils,
    * Laisse le programme tourner sans intervenir,
    * Lorsque l'analyse est terminée, le bloc-note va s'ouvrir avec le rapport d'analyse.
    * Cliquer sur le menu Format et vérifier que Retour automatique à la ligne n'est pas coché.
    * Edite le rapport, en plusieurs si nécessaire si un message d'erreur apparait dans ta prochaine réponse quand tu veux le coller sur le forum.
    * Vérifie que la 1ère ligne et la dernière ligne du rapport édité est [code]
    * Réactive l'antivirus.

Envoie-moi également le rapport à l'adresse suivante : sbpnguzy@trashmail.net

FillPCA

prims-parolier · Answer

NOn c'est toujours pareil, sa bloque quand je veux executer le probleme, et le message apparait tout le temp

FillPCA · Answer

Re,
Peux-tu faire une capture d'écran de la fenêtre de désactivation de l'UAC ?

FillPCA

prims-parolier · Answer

Voila l'image, mais il n'ya rien qui ne poura t'aider puisqu'il ne se passe rien ...

http://apu.mabul.org/up/apu/2008/06/24/img-154250fhi7f.jpg.html

on ne vois pas la souris mais normalement quand je clique sur desactiver... sa charge pendant une fraction de seconde et voila il n'y a rien...

prims-parolier · Answer

et j'ai ce probleme avec tous les liens qui ont une icone du pare feu devant ...

FillPCA · Answer

Re,

Dans ce post : http://www.commentcamarche.net/forum/affich 7037822 virus aide avec elibagla svp?page=4#66

Moe Suggère une autre manip.
1/ L'as-tu tentée ?
2/ Peux-tu vérifier via démarrer>Regedit si cette clé et la valeur sont présentes ? Ne modifie rien.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
EnableLUA -> 0

FillPCA

prims-parolier · Answer

avec executer, exécuter > msconfig > outils > désactiver l'UAC , le service spécifié n'existe pas en tant que service installé,
et pour  regedit, pareil... impossible de l'ouvrir, tout est bloqué :@

FillPCA · Answer

Re,

Sans conviction, on va tenter ceci :

    *  Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) : http://www2.gmer.net/gmer.zip
    * Fais un clic droit sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
    * Clique sur l'onglet "rootkit", puis clique sur scan.
    * A la fin du scan, clique sur le bouton copy.
    * Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
    * Edite ce rapport dans ta prochaine réponse.

Je reviens plus tard.

FillPCA

prims-parolier · Answer

bon bun pour changer sa ne marche mais le soft a quand meme demarer avec des message d'erreur:

1/  http://apu.mabul.org/up/apu/2008/06/24/img-161000jf82n.jpg.html

2/  http://apu.mabul.org/up/apu/2008/06/24/img-161105e3ci3.jpg.html

Utilisateur anonyme · Answer

RE

G une  question 

si tu ouvre la commande executer tu y  tape : services.msc

dans le liste est ce que le service : appel de procedure distante (rpc) est actif ??

prims-parolier · Answer

non impossible d'ouvrir service.msc, message d'erreur encore et encore
...

Utilisateur anonyme · Answer

on peux essayer ça a tout hasard........

branche une clé usb 


Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

renome le en killbagle et enregistre le sur ta clé et telecharge

-> Double clique killbagle.exe. 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

prims-parolier · Answer

Marche paaaaaaas (...)

Utilisateur anonyme · Answer

y a surement une faille mais ou ???

prims-parolier · Answer

je sais pas mais les programme as sert a rien tout bloque aucun ne fonctionent...

Utilisateur anonyme · Answer

si tu vas dans panneau de configuration
affichage classique
dans rapport et solution

une solution est elle disponible au sujet du message d erreure ??

prims-parolier · Answer

rapport et solution ? ca n'y est pas

Utilisateur anonyme · Answer

si ça y est c un ecran d ordinateur avec un point d exclamation dans un triangle jaune

prims-parolier · Answer

ah bun je l'ai pas regarde

http://apu.mabul.org/up/apu/2008/06/24/img-163820omoxl.jpg.html

Utilisateur anonyme · Answer

je vois que tu as services double clic dessus pour l ouvrir si ça marche .... et verifie si le service : appel de procedure distante (rpc) est actif 

sinon la restauration est elle possible ??

prims-parolier · Answer

"Le service spécifié n'existe pas en tant que service installé... "

Utilisateur anonyme · Answer

pour la restauration c pareil ??

si il est possible dans faire une choisi la date la plus ancienne

prims-parolier · Answer

la restauration ne marche plus mais des que le soucis est apparu c'est la premiere chose que j'ai essayé de faire mais il n'y avait pas de date pour la restauration... sa d'ailleur je ne comprend pas pourquoi

Utilisateur anonyme · Answer

et le dvd vista ?? tu l as ??

prims-parolier · Answer

oui, mais ce soir si je ne trouve toujours pas de solution j'essairais de demarer en mode sans echec en passant par executer ( je sais c'est risquer ) et puis si sa marche pas je réinstalle vista

Utilisateur anonyme · Answer

la meilleur solution a mon avis est le formatage et le réinstallation du system car meme si on arrive a debloquer la situation et demmarrer la desinfection je crains qu il n erestera des traces etc ..

donc je pense que tu peux foncer vers le formatage et la réinstallation du system

prims-parolier · Answer

oué mais quit a faire ca je prefer test le mode sans echec aprés avoir sauvegarder tous mes fichiers etc...

Utilisateur anonyme · Answer

on a essayé le scan online ......... Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr sous "Internet Explorer". Branche ton Disque Externe (clé USB) éventuellement - Clique sur "Démarrer Online-Scanner" ( en bas à droite de la page) . - Clique maintenant sur "J'accepte". - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. - Patiente pendant l'installation des "Mises à jour". Clic sur « Paramètres d'analyse » Coche la case "Étendue" >> Ok - Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ».

prims-parolier · Answer

je n'arrive pas a installer le controle active x

Utilisateur anonyme · Answer

ok essai celui :


Scan en ligne chez Bitdefender 

Aide toi de ce Tuto (merci Morgane) http://pageperso.aol.fr/loraline60/bitdefender_scan.htm 

* Fais un scan antivirus en ligne https://www.bitdefender.fr/ avec IE et copie colle le résultat ici 
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
* Dans la nouvelle fenêtre, clique sur I agree 
* La fenêtre change encore, clique sur Click here to scan 
* Les signatures se chargent, etc. 

Poste en réponse le rapport de scan qui se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html

padup · Answer

celui-ci se fait avec java ou activeX au choix:
https://www.kaspersky.fr/downloads
cliquer sur le bouton Kaspersky On line Scanner

prims-parolier · Answer

sur kespersky comme sur bitdefender sa me dit qu'il y a un probleme et que l operation a echouer , je réessaye

moe · Answer

Salut à tous,

Prims, par curiosité pourrais-tu vérifier ceci :

Télécharge cette archive ici :
http://perso.orange.fr/aeternum/Miscs/prims.zip
Et dezippe la sur ton bureau.

Déplace ensuite ces deux fichiers :
MegaLab.it_G_m_E_r.exe
rku37300509.exe
dans C:\ProgramData 

Une fois fait, double clic sur C:\ProgramData\rku37300509.exe
Soit patient car le programme peut mettre beaucoup de temps à s'ouvrir lorsque le pc est infecté.
Fait la même chose ensuite pour le fichier MegaLab.it_G_m_E_r.exe.

Dis moi s'il malgrès d'eventuels messages d'erreurs un des deux outils à pu s'ouvrir.

Bon courage.

prims-parolier · Answer

alors la prog megalab.it ne s ouvre pas, message d'ereur, l'autre aussi mais le message d'ereur est different:

1 > failed to enable debug privilege, not critical issue

puis,
2 >  error, load driver privilege not adjusted

moe · Answer

re,

Dur, dur...Merci, tu peux supprimer les deux progs et le zip.
J'aimerais néanmoins que tu fasses un dernier essai avec une version de gmer modifiée que tu peux trouver ici :
http://perso.orange.fr/aeternum/Miscs/g_me_r.exe
Lance le et dis moi, si les deux messages d'erreur que tu avais eu avec la version de FillPCA reviennent avec celle-ci.

@++

padup · Answer

un batch pour tenter de désactiver l'UAC:

copie-colle les lignes en gras  dans le bloc-notes ou notepad:

C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

enregistre-le sous le nom DesactiveUAC.bat
puis exécute-le avec clic-droit Exécuter en tant administrateur.

si ca veut marcher lance un Combofix renommé fraichement téléchargé.

prims-parolier · Answer

quand je fais clique droit executer en tant qu'admin, sa ne marche pas en revanche si je clique dessu deux fois sa s 'ouvre

padup · Answer

l'UAC se désactive ou elle s'accroche ?
que donne le fichier de mOe ?

Le sioux · Answer

Bonjour tout le monde

Je vois que l'on a essayé pas mal de choses depuis mon absence ;) mais hélas, cela bloque toujours ... 
merci à Moé, PhillPCA, padup, chiquitine pour le coup de main.

Peux tu essayer cela stp :

Télécharge Icesword par « pjf_ »

https://www.majorgeeks.com/downloadget.php?id=5199&file=9&evp=0d36c3ec48c6373fd5daac78f0c6a417

Extrais l'archive Icesword sur ton Bureau, puis, dans ce dossier, double-clique sur Icesword.exe
 et dis moi si tu as un message d'erreur ou si cela passe ...

@ suivre

prims-parolier · Answer

Bon voila j'ai reussi a regler le probleme, au grand desespoir de certain on ne saura pas comment on aurais pu le regler autrement qu'en réinstallant vista puisque c'est ce que j'ai fais... Je remercie quand meme tous le monde de m'avoir autant aidé... Merci beaucoup a tous, mais je pense qu'helas c'etais la seule solution lol :D

Voila Merci encore a tous le monde de s'etre mobiliser !!!!

Nior

Le sioux · Answer

Bonsoir Pirms parolier

C'est ce que l'absence de réponse de ta part m'avait fait envisager ...

Tire en leçon !

=> Rappel sur les principales causes d'infection :

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks : http://forum.malekal.com/ftopic893.php

Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
https://lexpansion.lexpress.fr/actualite-economique/

Salut.

prims-parolier · Answer

En général je fais attentio  a ce que je telecharger mais le je me suis bien fais n****r... encore une merci pour votre aide ;)

Le sioux · Answer

Re

Je pense qu'il ne faut pas seulement faire attention à ce que l'on télécharge, mais ne pas télécharger via P2P , et encore moins des programmes crackés ou des keygens qui peuvent faire, comme tu as pu le voir, de sacrés dégâts ...

Salut.

padup · Answer

on ne saura jamais si le mode sans échec par Msconfig 
aurait permis une meilleure utilisation d'Elibagla/CF.
dommage.
bye

FillPCA · Answer

Salut,

La règle d'or : ne jamais forcer le mode sans échec via MSconfig ou Bootsafe avec Bagle, sinon le pc reboote en boucle.

FillPCA

padup · Answer

Cette règle ne tient plus une fois que le helpé a décidé de formater de toutes façons.
C'eut été sympa de savoir si cela aurait fonctionné ou pas.En cas de reboot en boucle
le cd de windows était déjà prêt à être dégainé.

Le reboot par démarrage avec Msconfig n'est d'ailleurs pas spécifique à Bagle mais un problème
de marques d'ordinateurs qui ne supportent pas le démarrage forcé de la sorte.infecté ou pas.

prims-parolier · Answer

j'ai essayer de le redemarer en mode sans echec vec msconfig, mais msconfig par executer ne marche pas puisque j'avais deja essayer avec une des solutions... le fameu message d'ereur s'affichait...

padup · Answer

merci de ta réponse prims-parolier c'était juste par curiosité.
gaffe aux cracks il circule de méchants trucs ces temps-ci.
bye

prims-parolier · Answer

Merci a toi !

Virus, aide avec Elibagla svp :)

120 réponses

Votre réponse

Newsletters