Infection bagle?
Dernière réponse : dans Sécurité
Bonjour a tous.
Alors voila, Depuis quelque jours j'ai plusieurs probleme sur mon PC, les disque amovible demande un formatage systematique, kaspersky ne se lance plus au demarage ni manuellement (Win32 non valide).
Apres quelque recherche je pense qu'il s'agirait de Bagle mais sans certitude, ayant essayé les manip' d'autre forum qui sont toutes resté sans succès.
Donc si quelqu'un pouvait m'aider.
Merci d'avance
Julien
Ma config': XP sp2, kaspersky antivirus 6.0
Alors voila, Depuis quelque jours j'ai plusieurs probleme sur mon PC, les disque amovible demande un formatage systematique, kaspersky ne se lance plus au demarage ni manuellement (Win32 non valide).
Apres quelque recherche je pense qu'il s'agirait de Bagle mais sans certitude, ayant essayé les manip' d'autre forum qui sont toutes resté sans succès.
Donc si quelqu'un pouvait m'aider.
Merci d'avance
Julien
Ma config': XP sp2, kaspersky antivirus 6.0
Autres pages sur : infection bagle
Lassé par la pub ? Créez un compte
Bonsoir
Citation :
ayant essayé les manip' d'autre forum qui sont toutes resté sans succès. Humm .. aidé par quelqu'un ?
Télécharge ComboFix [:eric_71] < ici
Enregistre le sur ton Bureau et pas ailleurs !
Surtout NE LE LANCE PAS en double cliquant dessus !
mais Menu Démarrer / Executer , colle ceci et valide :
"%Userprofile%\Bureau\Combofix.exe" /KillAll
attend la fin du scan
il peut y avoir un Redémarrage du PC !
Copie / Colle le rapport généré ( C:\Combofix.txt )
Ah ..
Télécharge EliBaglA <- ici
Clique sur Descargar ELIBAGLA ( en bas de la page )
tu dois télécharger ce fichier sur ton Bureau
Double-clique sur ce fichier pour l'ouvrir
dans le menu déroulant Unidad , vérifie que tu as bien C:\
vérifie aussi que l'option Eliminar Ficheros Automaticamente soit bien cochée ( en bas de la fenêtre )
Maintenant , clique sur le bouton Explorar pour lancer l'analyse
en fin d'analyse , un rapport est généré
poste ce rapport ( c:\infosat.txt )
Télécharge EliBaglA <- ici
Clique sur Descargar ELIBAGLA ( en bas de la page )
tu dois télécharger ce fichier sur ton Bureau
Double-clique sur ce fichier pour l'ouvrir
dans le menu déroulant Unidad , vérifie que tu as bien C:\
vérifie aussi que l'option Eliminar Ficheros Automaticamente soit bien cochée ( en bas de la fenêtre )
Maintenant , clique sur le bouton Explorar pour lancer l'analyse
en fin d'analyse , un rapport est généré
poste ce rapport ( c:\infosat.txt )
Thu Feb 28 21:49:09 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Feb 28 21:49:48 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 7505
Nº Total de Ficheros: 82386
Nº de Ficheros Analizados: 12450
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 3
Voilà...
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Feb 28 21:49:48 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 7505
Nº Total de Ficheros: 82386
Nº de Ficheros Analizados: 12450
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 3
Voilà...
Re ,
il n'a pas tout supprimé ,
Télécharge http://www.gmer.net/gmer.zip
Décompresse le sur ton Bureau et double clique sur gmer.exe
Clique sur scan , une fois terminé ,
1/ Menu Démarrer / executer et tape cmd puis valide
Tape les lignes ci-dessous en validant chacune d'elles pas "Entrée"
il n'a pas tout supprimé ,
Télécharge http://www.gmer.net/gmer.zip
Décompresse le sur ton Bureau et double clique sur gmer.exe
Clique sur scan , une fois terminé ,
1/ Menu Démarrer / executer et tape cmd puis valide
Tape les lignes ci-dessous en validant chacune d'elles pas "Entrée"
gmer -killall
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\SROSA"
gmer -del service SROSA.sys
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS"
gmer -del file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT"
gmer -del file "C:\WINDOWS\system32\MDELK.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE"
gmer -reboot
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\SROSA"
gmer -del service SROSA.sys
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS"
gmer -del file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT"
gmer -del file "C:\WINDOWS\system32\MDELK.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE"
gmer -reboot
Je l'ai decompressé mais un message d'erreur aparait:
'L'application ou la DLL C:\WINDOWS\gmer.dll n'est pas une image Windows valide. Verifiez à l'aide de votre disquette d'installation.'
Je clique donc sur 'OK', puis un deuxieme message d'erreur:
'LoadLibrary "gmer.dll": Error: 87'
Et je clique sur 'OK' et rien d'autre ne se passe.
'L'application ou la DLL C:\WINDOWS\gmer.dll n'est pas une image Windows valide. Verifiez à l'aide de votre disquette d'installation.'
Je clique donc sur 'OK', puis un deuxieme message d'erreur:
'LoadLibrary "gmer.dll": Error: 87'
Et je clique sur 'OK' et rien d'autre ne se passe.
Aucun tool ne fonctionne sur ton PC ...
clique sur Demarrer / Panneau de configuration / Options des dossiers , choisis l'onglet Affichage , puis décoche cette option :
![]()
et enfin clique sur OK
Sélectionne entièrement le contenu du cadre ci-dessous :
Drivers to delete:
srosa
Files to delete:
c:\WINDOWS\system32\drivers\srosa.sys
c:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\MDELK.EXE
C:\WINDOWS\system32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
Puis clique droit , choisis Copier
Ouvre le Bloc-Note , clique droit , choisis Coller afin de coller le contenu du cadre ci-dessus
Vérifie qu'il ne manque aucune ligne avant de continuer !
Enregistre le fichier sur ton bureau , nomme le remove.txt
Télécharge The Avenger [:eric_71:3] < ici
Dézippe le contenu de l'archive sur ton bureau et pas ailleurs !
Double-clique sur avenger.exe et clique sur Ok
Clique sur l'icône en forme de dossier ( Load Script from File )
Sélectionne le fichier remove.txt qui est sur ton bureau
Clique sur le Execute pour lancer le script
Accepte de redémarrer ton pc
Une fois redémarré , Copie / Colle le rapport généré ( C:\avenger.txt )
ATTENTION , ci vous n'êtes pas la personne concernée ,
n'appliquez EN AUCUN CAS cette procédure ,
vous risqueriez d'endommager votre PC !!
clique sur Demarrer / Panneau de configuration / Options des dossiers , choisis l'onglet Affichage , puis décoche cette option :
et enfin clique sur OK
Sélectionne entièrement le contenu du cadre ci-dessous :
Drivers to delete:
srosa
Files to delete:
c:\WINDOWS\system32\drivers\srosa.sys
c:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\MDELK.EXE
C:\WINDOWS\system32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
Puis clique droit , choisis Copier
Ouvre le Bloc-Note , clique droit , choisis Coller afin de coller le contenu du cadre ci-dessus
Vérifie qu'il ne manque aucune ligne avant de continuer !
Enregistre le fichier sur ton bureau , nomme le remove.txt
Télécharge The Avenger [:eric_71:3] < ici
Dézippe le contenu de l'archive sur ton bureau et pas ailleurs !
Double-clique sur avenger.exe et clique sur Ok
Clique sur l'icône en forme de dossier ( Load Script from File )
Sélectionne le fichier remove.txt qui est sur ton bureau
Clique sur le Execute pour lancer le script
Accepte de redémarrer ton pc
Une fois redémarré , Copie / Colle le rapport généré ( C:\avenger.txt )
ATTENTION , ci vous n'êtes pas la personne concernée ,
n'appliquez EN AUCUN CAS cette procédure ,
vous risqueriez d'endommager votre PC !!
Je viens avec une proposition même si je ne pense pas qu'elle marchera pas.
Télécharger Combofix en le renommant avant le téléchargement comme ici ?:
-> http://forum.pcastuces.com/sujet.asp?f=25&s=37315
?
Télécharger Combofix en le renommant avant le téléchargement comme ici ?:
-> http://forum.pcastuces.com/sujet.asp?f=25&s=37315
?
Lassé par la pub ? Créez un compte
