Attaque par virus baggle

lolopodo -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
j'ai un gros soucis, j'ai le fameux virus baggle.
Il m'empêche d'installer un antivirus, de scanner en ligne, d'utiliser combofix (app win32 non valide).
Je ne sais pas quoi faire.

genproc me dis ceci:
merci de m'aider/

Rapport GenProc 2.119 [2] effectué le 16/10/2008 à 7:25:28,10 - Windows XP

# Etape 1/ Télécharge :

- ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Lance l'outil ELIBAGLA, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsque c'est terminé, redémarre ton ordinateur.

- Combofix (sUBs) : par clic droit de souris sur ce lien http://download.bleepingcomputer.com/sUBs/ComboFix.exe sélectionne "enregistrer sous" et nomme-le en combo-fix.exe. Double-clique ensuite sur combo-fix.exe, et appuie sur la touche Y (Yes) pour démarrer le scan et patiente.

Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/ Lance CCleaner > "Nettoyeur" > "Lancer le nettoyage" et c'est tout.

# Etape 3/ Poste les trois rapports suivants :
- le contenu du fichier infosat.txt qui se trouve dans Poste de travail > disque C:\
- le contenu du rapport qui se trouve dans C:\Combofix.txt
- un nouveau rapport GenProc.
Configuration: Windows XP sp2
Firefox 3.0.3

103 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
Résumé de la discussion

Le problème décrit est une infection Bagle qui empêche l’installation d’antivirus, les scans en ligne et l’exécution d’outils comme ComboFix, avec des recommandations techniques variées pour nettoyer le système.
Plusieurs solutions sont proposées, notamment exécuter ELIBAGLA (en mode sans échec si possible), puis ComboFix et CCleaner, tout en insistant sur la suppression des cracks et keygens qui facilitent l’infection.
En parallèle, certains répondants évoquent FindyKill et des mesures comme déconnecter les périphériques externes, puis générer des rapports (FindyKill.txt, C:\Combofix.txt, infosat.txt) pour poursuivre le nettoyage et la vérification.
Certains répondants évoquent la possibilité d’un rootkit et recommandent des tentatives supplémentaires, comme la vérification des systèmes de démarrage et la prudence à l’égard des logiciels non signés, afin d’éviter des réinfections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Salut

    ça pex arriver c est le fichier srosa.sys (infecté) qu i réagit

    recommence l option 2 de findyKill STP
    2
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      Salut chiqui ,

      j'allais justement te prévenir ^^


      0
  2. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut lolopodo,

    Infection par un bagle :

    1-IMPORTANT :
    je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
    Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)

    2- Télécharges FindyKill de Chiquitine29 :

    http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

    ->Enregistres le sur ton bureau et pas ailleurs !

    !! Déconnectes toi et fermes toute applications en cours !!

    ( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

    -> Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.

    Notes importantes :
    * si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .

    --> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .

    -->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...

    Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

    ( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

    PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    1
  3. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Re,

    je me demande s'il y a pas un rootkit

    C'est exactement cela ! ^^

    la suite :

    1- Important :
    Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
    Tu les retireras après la manipe ...

    2- Relances FindyKill :

    -> choisis cette fois-ci l'option 2 .

    /!\ il y aura 2 redémarrages !... Laisses travailler l'outil jusqu' à l'apparition du message :
    "nettoyage terminé" .

    Note : lors du message d'avertissement , cliques sur " Ok " .

    --> ensuite postes le nouveau rapport FindyKill.txt qui est généré et attends la suite ...

    ( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

    PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
    tapes explorer.exe et valides .
    1
  4. elvega Messages postés 522 Statut Membre 14
     
    c'est quoi tout sa??
    -1
    1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
       
      salut

      Ca, c'est le rapport de GenProc
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lolopodo
     
    merci de vos réponses.
    C'est une vraie galère je me demande s'il y a pas un rootkit.
    Le virus stoppe l'exécution de pas mal de programmes.
    0
  7. lolopodo
     
    merci de vos réponses.
    C'est une vraie galère je me demande s'il y a pas un rootkit.
    Le virus stoppe l'exécution de pas mal de programmes.

    ----------------- FindyKill V4.005 ------------------

    * User : Laurent - LJDOM
    * Emplacement : C:\Program Files\FindyKill
    * Outils Mis a jours le 15/10/08 par Chiquitine29
    * Recherche effectuée à 22:36:24 le 16/10/2008
    * Windows XP - Internet Explorer 7.0.5730.13

    ((((((((((((((((( *** Recherche *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Unlocker\UnlockerAssistant.exe
    D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
    C:\Program Files\Logitech\iTouch\iTouch.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\RunDll32.exe
    D:\Program Files\McAfee\Common Framework\UdaterUI.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\Cyberlink\Shared Files\brs.exe
    D:\Program Files\Lecteurs\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
    D:\PROGRA~1\Lecteurs\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    D:\Program Files\McAfee\Common Framework\McTray.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\Gravure\DAEMON Tools\daemon.exe
    C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
    D:\Program Files\SpeedUpMyPC 3\SpeedUpMyPC.exe
    D:\Program Files\Lecteurs\CyberLink\Power2Go\Power2GoExpress.exe
    D:\Program Files\Microsoft ActiveSync\wcescomm.exe
    C:\WINDOWS\system32\drivers\hldrrr.exe
    C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\WINDOWS\VolumeTracker.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
    C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
    C:\Program Files\DU Meter\DUMeterSvc.exe
    D:\PROGRA~1\MICROS~1\rapimgr.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    D:\Program Files\McAfee\Common Framework\FrameworkService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PSIService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    D:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wintems.exe
    C:\Documents and Settings\Laurent\Application Data\m\flec006.exe
    C:\WINDOWS\System32\alg.exe
    D:\Program Files\McAfee\Common Framework\naPrdMgr.exe
    C:\Documents and Settings\Laurent\Bureau\RootkitRevealer\RootkitRevealer.exe
    C:\DOCUME~1\Laurent\LOCALS~1\Temp\VUQLGQN.exe
    C:\WINDOWS\explorer.exe

    --------------- [ Processus infectieux stoppés ] ----------------

    "C:\WINDOWS\system32\drivers\hldrrr.exe" (1900)
    "C:\WINDOWS\system32\wintems.exe" (752)
    "C:\Documents and Settings\Laurent\Application Data\m\flec006.exe" (300)

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Presence des fichiers dans C:

    Présent ! - C:\InfoSat.txt

    »»»» Presence des fichiers dans C:\WINDOWS

    »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

    Present ! - C:\WINDOWS\prefetch\127734.EXE-1D1C716E.pf
    Present ! - C:\WINDOWS\prefetch\14667828.EXE-09122331.pf
    Present ! - C:\WINDOWS\prefetch\14675156.EXE-0907A741.pf
    Present ! - C:\WINDOWS\prefetch\147093.EXE-10B334A7.pf
    Present ! - C:\WINDOWS\prefetch\151453.EXE-363F821A.pf
    Present ! - C:\WINDOWS\prefetch\154359.EXE-3201D1EF.pf
    Present ! - C:\WINDOWS\prefetch\317187.EXE-0B082BFA.pf
    Present ! - C:\WINDOWS\prefetch\318453.EXE-1C3C59E6.pf
    Present ! - C:\WINDOWS\prefetch\339718.EXE-21EDA7CC.pf
    Present ! - C:\WINDOWS\prefetch\349921.EXE-255DCA5A.pf
    Present ! - C:\WINDOWS\prefetch\396984.EXE-09C18154.pf
    Present ! - C:\WINDOWS\prefetch\420156.EXE-130197A8.pf
    Present ! - C:\WINDOWS\prefetch\429531.EXE-30DFE5F3.pf
    Present ! - C:\WINDOWS\prefetch\FLEC006.EXE-1CF87B3B.pf
    Present ! - C:\WINDOWS\prefetch\HLDRRR.EXE-0728C169.pf
    Present ! - C:\WINDOWS\prefetch\MDELK.EXE-2B713A85.pf
    Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-04D8B84E.pf

    »»»» Presence des fichiers dans C:\WINDOWS\system32

    Présent ! - C:\WINDOWS\system32\mdelk.exe
    Présent ! - C:\WINDOWS\system32\wintems.exe
    Présent ! - C:\WINDOWS\system32\ban_list.txt

    »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

    Présent ! - C:\WINDOWS\system32\drivers\srosa.sys
    Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
    Présent ! - "C:\WINDOWS\system32\drivers\down"
    Présent ! - "C:\WINDOWS\system32\drivers\downld"
    Present ! - C:\WINDOWS\system32\drivers\downld\124890.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\126140.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\167890.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\330000.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\436390.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\522250.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\593140.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\129031.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\134781.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\14686671.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\158281.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\165281.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\179031.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\188671.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\197671.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\276921.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\303921.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\341671.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\349921.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\437921.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\46236421.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\46240421.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\480281.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\492781.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\512031.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\14683562.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\14748812.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\259062.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\355062.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\46190812.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\515062.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\14633593.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\14660593.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\202843.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\208843.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\318453.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\365453.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\127734.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\131984.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\138734.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\140234.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\14661484.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\201484.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\231484.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\309984.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\396984.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\46244484.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\105125.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\108375.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\161875.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\174375.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\202875.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\248515.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\270515.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\278015.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\410265.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\411125.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\450625.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\518125.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\530625.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\101406.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\101796.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\114156.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\160046.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\165046.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\194046.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\199406.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\206156.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\213296.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\261546.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\291046.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\445156.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\456156.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\46191906.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\46333406.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\499656.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\14740687.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\174687.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\215937.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\226687.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\266937.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\270187.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\46312187.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\113328.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\163468.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\175828.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\178078.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\183328.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\184218.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\222328.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\274578.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\339718.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\368078.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\408718.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\491218.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\14680109.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\328859.exe
    Present ! - C:\WINDOWS\system32\drivers\downld\601609.exe

    »»»» Presence des fichiers dans C:\Documents and Settings\Laurent\Application Data

    Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\flec006.exe"
    Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\list.oct"
    Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\data.oct"
    Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\srvlist.oct"
    Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\shared"
    Présent ! - "C:\Documents and Settings\Laurent\Application Data\m"

    »»»» Presence des fichiers dans C:\DOCUME~1\Laurent\LOCALS~1\Temp

    --------------- [ Registre / Startup ] ----------------

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    UnlockerAssistant REG_SZ "C:\Program Files\Unlocker\UnlockerAssistant.exe"
    Acrobat Assistant 8.0 REG_SZ "D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
    zBrowser Launcher REG_SZ C:\Program Files\Logitech\iTouch\iTouch.exe
    MagicSpeed REG_SZ D:\Program Files\SAMSUNG\Magic Speed\MagicSL.exe /autorun
    NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    McAfeeUpdaterUI REG_SZ "D:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
    Sony Ericsson PC Suite REG_SZ "D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    BDRegion REG_SZ C:\Program Files\Cyberlink\Shared Files\brs.exe
    RemoteControl REG_SZ "D:\Program Files\Lecteurs\CyberLink\PowerDVD\PDVDServ.exe"
    LanguageShortcut REG_SZ "D:\Program Files\Lecteurs\CyberLink\PowerDVD\Language\Language.exe"
    InstantBurn REG_SZ D:\PROGRA~1\Lecteurs\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
    LGODDFU REG_SZ "D:\Program Files\Lecteurs\CyberLink\LG firm update\fwupdate.exe" blrun
    SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    MSConfig REG_SZ C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    MsnMsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
    DAEMON Tools REG_SZ "D:\Program Files\Gravure\DAEMON Tools\daemon.exe" -lang 1033
    EVEREST AutoStart REG_SZ F:\Program Files\EVEREST Ultimate Edition\everest.exe
    BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    LightScribe Control Panel REG_SZ C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
    Uniblue SpeedUpMyPC REG_SZ D:\Program Files\SpeedUpMyPC 3\SpeedUpMyPC.exe -s
    H/PC Connection Agent REG_SZ "D:\Program Files\Microsoft ActiveSync\wcescomm.exe"

    --------------- [ Registre / Clés infectieuses ] ----------------

    Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\hldrrr
    Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\nideiect
    Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\bisoft
    Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\DateTime4
    Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\FirtR
    Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\MuleAppData
    Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\XYZ
    Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
    Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect
    Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
    Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
    Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
    Présent ! - HKEY_CURRENT_USER\Software\bisoft
    Présent ! - HKEY_CURRENT_USER\Software\DateTime4
    Présent ! - HKEY_CURRENT_USER\Software\XYZ
    Présent ! - HKEY_CURRENT_USER\Software\FirtR

    --------------- [ Etat / Services ] ----------------

    +- Services : [ Auto=2 Demande=3 Désactivé=4 ]

    /!\ Ndisuio - Type de démarrage = 4

    /!\ Ip6Fw - Type de démarrage = 4

    SharedAccess - Type de démarrage = 2

    /!\ wuauserv - Type de démarrage = 4

    /!\ wscsvc - Type de démarrage = 4

    --------------- [ Recherche dans supports amovibles] ----------------

    +- Informations :

    C: - Lecteur fixe
    D: - Lecteur fixe
    E: - Lecteur fixe
    F: - Lecteur fixe
    H: - Lecteur fixe
    J: - Lecteur fixe

    +- presence des fichiers :

    --------------- [ Registre / Moutpoint2 ] ----------------

    Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\AutoRun\command
    Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\explore\Command
    Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\open\Command

    ------------------- ! Fin du rapport ! --------------------
    0
  8. elvega Messages postés 522 Statut Membre 14
     
    s'il y avait un rapport hijackthis je l'aurais repérer.
    -1
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      il y a peu de chance car le Bagle à la facheuse tendance à shooter pas mal de prg ... hijackths compris ... c'est plutôt rare que celui-ci fonctionne en sa présence ...

      A+
      0
  9. elvega Messages postés 522 Statut Membre 14
     
    renommer hijackthise !! sa ne fonctionnera pas aussi ?
    -1
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      Peu de chance aussi ... mais cela peu marcher à condition de le renommer au téléchargement ...

      bref ... évitons de trop surcharger le topic ... merci ;)

      0
  10. lolopodo
     
    alors je confirme que hijackths est bloqué aussi
    nouveauté
    y a un message d'erreur :
    "impossible de trouver le moteur de script vbscript pour le script findykill\tools\avert.vbs"

    aiee
    0
  11. lolopodo
     
    et si je continue malgré tout à appuyer sur une touche: écran bleu.
    0
  12. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Quand tu as l'ecran bleu : presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
    tapes explorer.exe et valides .

    dis moi si ton bureau réapparait ...
    -1
  13. lolopodo
     
    ah no cest u vrai ecran bleu
    marqué driver unloaded without cancelling pending operations

    srosa.sys
    0
  14. lolopodo
     
    Héhé j'arrive les gars
    çà ne marche pas çà fait la même chose
    si j'essayais en sans echec?
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      normalement le mode sans échec doit être naze ....


      fais ceci alors :

      1- Supprimer Findykill proprement :
      * Relances l'outil , et cette fois choisis l'option 3 pour le désinstaller ...

      Supprimes aussi le set-up "Findykill.exe" qui est présent sur ton bureau ( direct dans la poubelle ) .


      2- fais exactement ce qui suit :

      Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
      http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tapes CFix et valides .

      - le renommage au téléchargement est primordial pour contrer Bagle, sinon l'outil sera inutilisable -

      --------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
      !! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
      en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
      --->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
      Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

      ---------------------------------------------------------------------------------------------------------------------------------

      Ensuite :
      double-cliques sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil .

      Appuyes sur la touche Y (Yes) pour démarrer le scan .

      Notes importantes :
      -> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
      -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
      -> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
      -> si un message d'erreur windows apparait à un moment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

      Le rapport sera crée dans: C:\Combofix.txt

      Postes le rapport Combofix pour analyse ...
      0
  15. lolopodo
     
    prog désinstallé mais message d'erreur à la fin: c:\windows\system32\command.com NTVDM a rencontré une erreur systeme descripteur non valide

    ....

    ensuite pour combofix, ce n'est pas évident cette saleté le bloquait
    là il a démarré difficilement et me demande la console de récupération systeme
    qu'il me faut installer

    quelle bande de connnnnns ces types qui font perdre du temps aux autres.
    0
  16. elvega Messages postés 522 Statut Membre 14
     
    on peut pas analyser sa "srosa.sys " avec un antivirus en ligne. sa crain.....
    -1
  17. Utilisateur anonyme
     
    RE

    Telecharge Kb2 sur ce lien : (merci a moe pour la réalisation !)

    http://sd-1.archive-host.com/membres/up/116615172019703188/KB2.exe

    Telecharge la nouvelle version d´eliblaga ici : (en bas de cette page)

    http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.

    Etape 1 :

    Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir...

    Etape 2 :

    Sur ton bureau double clic sur KB.exe.
    Tu verras apparaître sur le bureau, un raccourci nommé "KillB".
    Fait glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier.

    Elibagla va se lancer automatiquement.
    Clic sur "Ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :

    <ital>Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
    a "virus@satinfo.es". Gracias
    et/ou
    Eliminando Gusano BAGLE<ital>

    Une fois fait, le menu principal d'Elibagla apparaîtra :

    - Laisse la case "Eliminar ficheros automaticamente" coché
    - Clic sur "Explorar" pour lancer le scan.

    /!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
    /!\ Ne redemarre pas le pc après le scan.

    Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      Tu veux t'en occuper ?

      je te laisses faire ... je vais suivre avec attention ... ^^
      -1
  18. lolopodo
     
    resalut j'ai finit par lancer combofix sans installer la console de recup.

    Il m'a bien détecté la présence de rootkit et me demande de redémarrer la machine.
    0
  19. elvega Messages postés 522 Statut Membre 14
     
    désoler de vous interrompre je peux savoir qu'elle genre de virus a t'il chopé?
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6