oGu

Relance EliBagla que l'on voit où nous en sommes au niveau des drivers infectieux.

Le rapport indique que le fichier hldrr est introuvable, or celui qui nous intéresse est hldrrR. Recommence la manip' du message #39.

Edit: on a posté simultanément.Quel est le rapport que tu viens de joindre?? Celui de catchme? Ok. Recommence l'opération avec ces lignes, toujours dans Catchme: files to kill: C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS C:\Windows\System32\drivers\HLDRRR.exe C:\WINDOWS\SYSTEM32\WINTEMS.EXE

Les drivers sont toujours là, c'est désespérant!!! Il semblerait quele système refuse qu'on y touche...As-tu fait ces manip' en mode Admin'?? La manip' avec Catchme s'est-elle bien passée??

Télécharge DiagHelp sur ton bureau: http://www.malekal.com/download/DiagHelp.zip Décompresse l'archive sur ton bureau Dans le dossier DiagHelp que tu viens d'extraire, double-clique sur catchme.exe Deux fenêtres vont s'ouvrir: dans celle qui est grise, va dans l'onglet "script" Copie-colle ce texte dans l'onglet "script": files to kill: C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS C:\Windows\System32\drivers\hldrrr.exe C:\WINDOWS\SYSTEM32\WINTEMS.EXE C:\WINDOWS\SYSTEM32\BAN_LIST.TXT C:\WINDOWS\system32\drivers\hidr.exe Clique sur "run" Redémarre le PC Une fois redémarré, relance (pour la énième fois!) un scan EliBagla et poste le rapport. Souhaitons que cela fonctionne, car je n'ai plus que deux cordes à mon arc ensuite !!!

Malgré l'UAC désactivée, elle continue de te prévenir?? On va essayer avec un autre outil, patiente le temps que je fasse la procédure.

Csrss.exe est pourtant un processus sain.

Oui, essaie sans pour voir.

Arfff... Essaie sans taper la ligne gmer -killall, à tout hasard et sans illusion. On essaiera autre chose autrement...

A priori, Gmer ne se tue pas lui-même. Mais je ne jure de rien!!

Ben ouais...Eteint au bouton et try again!!

As-tu essayé plusieurs fois?? - Recommence STP, pour voir. - Si pas d'amélioration: redémarre, relance Elibagla (sans redémarrer après), puis recommence l'opération avec Gmer à ce moment-là. - Sois patient entre chaque ligne, l'élimination du driver peut peut-être prendre du temps...

??? Qu'est-ce qui t'ouvre cette fenêtre?? On verra ça après avoir tué Beagle avec un log HiajckThis. EliBagla n'arrive décidemment pas à se défaire du rootkit: il est plus coriace qu'avant!! Es-tu certain de travailler depuis un compte "administrateur" (celui créé par défaut par Vista par exemple) ?? On va essayer avec Gmer: Télécharge Gmer sur ton bureau: http://www.gmer.net/gmer.zip Déconnecte toi d'internet et ferme tous les programmes. Décompresse le fichier zip et double-clic sur gmer.exe Clic sur l'onglet "rootkit" Clic sur "Scan" Arrete le scan en cliquant sur Stop (pas la peine de le faire aller jusqu'au bout). IMPORTANT: imprime les lignes que j'ai mise dans l'encart ci-dessous de manière à les avoir sous les yeux durant les opérations (tu ne pourras pas les copier-coller ni les voir sur internet pendant l'opération, car Gmer va fermer tous les processus...seule restera la fenêtre noire d'invite de commande, ne t'inquiète pas.) gmer -killall gmer -del service srosa gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\srosa" gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\srosa" gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\srosa" gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS" gmer -del file "C:\Windows\System32\drivers\hldrrr.exe" gmer -del file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE" gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT" gmer -reboot Rend-toi ensuite dans ton menu "Démarrer" Clique sur Exécuter et tape CMD puis "ok" Dans la fenêtre noire qui s'ouvre, recopie chacune des lignes imprimées en étant très vigileant (syntaxe, espaces entre les mots...Prend ton temps!!), une par une, en validant chacune des entrées par la touche ENTREE. Si à la fin le PC ne redémarre pas tout seul, fais un reset pour forcer le redémarrage. Ensuite, poste un nouveau message indiquant comment s'est déroulée l'opération Gmer puis poste un nouveau rapport EliBagla pour voir si on lui a fait la peau.

Ok, on y va. -Lis d'abord l'intégralité de la procédure avant de débuter: s'il y a des interrogations/incompréhensions, fais m'en part. -Dans la réponse que tu me donneras, indique-moi bien tout ce que tu as fait. Avant de commencer: REINSTALLE HijackThis dans C:\Program Files et non dans un dossier temporaire comme c'est actuellement le cas. Le rapport liste tout ce qui démarre avec Windows: je vais te conseiller sur les éléments à désactiver, mais au final se sera à toi de faire les choix en fonction de ton utilisation du PC. NOTA: toutes ces modifications sont réversibles (à condition que Hijackthis ait bien été installé dans C:\Program Files et que tu ne touches pas au dossier "Backups" qu'il va créer), donc n'ait aucune crainte. Par ailleurs désactiver les démarrages automatiques des logiciels ne signifie pas qu'on supprime ces mêmes logiciels. Relance HIJACKTHIS et sélectionne cette fois "do a scan only", puis coche les lignes en fonction de mes commentaires. Les lignes suivantes sont dévolues à Internet Explorer: si tu utilises Firefox (absolument recommandé), tu peux toutes les cocher: tu perdras par contre les pages d'accueil (tu pourras choisir toi-même la future page d'accueil via les réglages d'Internet Explorer) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens ************************************************************************ SweetIM semble être dangereux: par ailleurs "les toolbars, c'est pas obligatoire": http://forum.malekal.com/viewtopic.php?f=45&t=6173 Elles sont souvent inutiles, font ramer les navigateurs, et récupèrent des infos sur ton profil pour mieux te cibler d'un point de vue publicitaire. Bref, ça craint! Idem pour Eorezo qui est en fait une régie de pub qui te harcèle ensuite de pubs... N'INSTALLE PLUS DE LOGICIEL OU DE TOOLBAR SANS T'ETRE RENSEIGNE PREALABLEMENT. Va dans ton Panneau de Configuration Rubrique "Ajout/Suppression des programes" Supprime si tu les trouve: SweetIM, Eorezo, eoWeather , eoEngine , Alcohol toolbar, Google Toolbar. Télécharge ensuite CCleaner Slim, puis installe-le: http://www.ccleaner.com/download/builds/downloading-slim: Clique sur l'onglet "Registre" puis "chercher des erreurs" puis "réparer les erreurs sélectionnées" Répond "oui" à la demande de sauvegarde et enregistre-la dans tes documents. ************************************************************************ Les 02 sont des "helpers" inutiles de Adobe reader, Java etc..: tu peux cocher celles-ci dans un premier temps: O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll ************************************************************************ Les 04 correspondent aux logiciels qui démarrent en parallèle de XP: je te conseille de cocher: Le démarrage automatique de QuickTime (absolument inutile, tu le lanceras quand tu en auras besoin): O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime Le démarrage automatique de ton imprimante O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe Le démarrage automatique du logiciel de configuration de ton matériel Logitech (souris? Clavier?): O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE Le démarrage automatique de Windows Media Player: O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe ************************************************************************ CTFMon est un petit outil intégré à XP qui permet l'affichage de caractères asiatiques: O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-21-2012092670-948619980-963902388-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'IUSR_NMPR') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') Si comme 99,99% des internautes tu n'en as pas utilité, désactive-le en suivant ce tuto de Libellules: http://www.libellules.ch/dotclear/index.ph...exe-au-dmarrage ************************************************************************ les 09 sont des boutons additionnels de la barre d'outils principale d'IE ou des éléments additionnels du menu 'Outils' d'IE. A priori tu peux toutes les cocher, surtout si tu n'utilises pas Internet Explorer. O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe ************************************************************************ Les 016 sont des ActiveX, c'est à dire de petits programmes dont certains sites ont besoin, uniquement dispos sur Internet Explorer: tu peux supprimer ces deux-là (s'ils te sont vraiment utiles, les sites te proposeront de les re-télécharger): O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0..._instmodule.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eB...l_v1-0-3-48.cab ************************************************************************ Le logiciel Desktop Messenger ne sert à rien: il est censé permettre à l'utilisateur de tirer profit de son matériel Logitech: en réalité il installe BackWeb, un soft louche qui se connecte à Logitech pour faire on ne sait trop quoi...Il t'a installé des dizaines de 018 comme celle-ci: O18 - Protocol: bw30 - {486DF5B9-BA53-47BA-8194-2D25E72C4AC8} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll Va dans ton Panneau de Configuration Rubrique "Ajout/Suppression des programes" Supprime : Logitech DESKTOP MESSENGER (fais bien attention au nom !!!) Lance ensuite CCleaner Slim Clique sur l'onglet "Registre" puis "chercher des erreurs" puis "réparer les erreurs sélectionnées" Répond "oui" à la demande de sauvegarde et enregistre-la dans tes documents ************************************************************************ Pour terminer: une fois cochées les cases dans HijackThis, clique en bas sur "Fix checked". IMPORTANT: il faut ensuite REDEMARRER !! ************************************************************************ Une fois la procédure suivie et terminée, poste un nouveau rapport HijackThis. On poursuivra sur les nouvelles bases.

Si tu peux éviter, se sera mieux, car avec beagle ton PC n' a pas de protections résidentes et reste donc très vulnérable.

Fais-lui constater les dégâts sur ta machine! A pratiquement chaque infection , on retrouve soit MSn, soit du peer-to-peer...Quel âge a ton fils?? Si c'est un ado on peut peut-être lui imposer un compte limité sur lequel il ne pourra pas installer ce qu'il veut sans autorisation et mot de passe. Désactive-le avec ce tuto: http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html Quand tout est désinstallé, nettoie ton registre avec l'onglet "registre" de CCleaner (accepte la sauvegarde qu'il te propose) et préviens-moi que l'on peut continuer.

Salut. Bagle se désinfecte, on y arrivera. As-tu désinstallé FORUM PROXY LEECHER? As-tu supprimé TOUS les CRACKS et KEYGEN de ta machine ? As-tu désinstallé tes softs de peer-to-peer, dont Emule ? C'est essentiel avant de continuer. *************************************************************************** Effectivement Beagle se relance car EliBagla ne parvient pas à supprimer les driver infectieux ("Acceso denegado")...Es-tu certain d'avoir désactivé l'UAC ? Elibagla est pourtant réglé pour redémarrer tout seul:voir cette ligne: O4 - HKLM\..\RunOnce: [ReEXEc] C:\Users\thierry\Desktop\EliBaglA.exe Peut-être ne le fait-il pas car il est incapable d'avoir accès aux drivers, et ne voit donc pas l'intérêt de rebooter... Je te prépare une procédure avec un autre outil.

Salut Stéphanie.. Tu souhaites en fait optimiser ton PC pour l'alléger?? Si oui, je peux te guider en te donnant des conseils sur ce qui est utile ou non. A suivre.

J'avais vu. c'est la première fois que je désinfecte Vista, aussi peut-être faudra-t-il désactiver l'UAC...On verra.

Salut, Beagle s'installe via des cracks...Est-ton cas? Si oui, quel logiciel/jeu as-tu essayé de cracker? Merci donc de relire: -la charte du forum: http://forum.zebulon.fr/index.php?act=SR&f=40 -l'article sur les dangers des cracks: http://forum.zebulon.fr/index.php?showtopic=85544 La première chose à faire est de désinstaller/supprimer/nettoyer le logiciel cracké à l'origine du problème; Fais donc le ménage en désinstallant ce logiciel, puis finis le travail à la main en supprimant les fichiers présents dans C:\Program Files. Fais également une recherche avec l'outil XP pour trouver puis supprimer tous les fichiers ayant un rapport avec ce logiciel... Télécharge ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place-le sur ton bureau. Double-clique dessus pour l'ouvrir Assure-toi que dans le menu déroulant Unidad, tu ais bien C:\ Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée Cliquez sur le bouton Explorar pour lancer l'analyse Le fix va redémarrer ton PC s'il trouve Beagle puis créer un rapport: il se trouve ici > C:\InfoSat.txt. Poste-le dans ta prochaine réponse.

Salut Annie34. Tu peux en faire la demande à Yann, l'administrateur du site (cherche son profil). Mais pourquoi changer ton pseudo si, comme tu le dis, tu n'as jamais écrit ces messages??

Salut. Toujours préférer la version SLIM, identique à la version complète SAUF qu'elle n'installe pas la toolbar publicitaire de profiling Yahoo! Toolbar: http://www.ccleaner.com/download/builds/downloading-slim

Diificile de te suivre Tuny avec tes posts multiples!! - suis les recommendations de Zonk - puis les miennes: http://forum.zebulon.fr/index.php?showtopic=137517&hl= AVG n'aura pas désinfecté ton PC tout seul, se serait trop beau!!

Si si , Beagle désinstalle les AV. http://www.malekal.com/W32.Beagle.KF_Trojan.Tooso.R.php

Salut. Il faudrait savoir COMMENT est venue l'infection pour en tirer des leçons pour l'avenir: Zlob s'installe via de faux-codecs isus de faux sites porno... Une fois installé, il modifie le fond d'écran, affiche des alertes disant que l' ordinateur est infecté et modifie la page de démarrage pour rediriger l'internaute vers des sites afin de faire télécharger des rogues, c'est à dire des faux logiciels... Conclusion: ne jamais télécharger n'importe quoi sans se renseigner ne jamais installer n'importe quoi sans se renseigner j'ai un doute sur un fichier, un programme, un exécutable? Je le scanne avec VirusTotal: http://www.virustotal.com/fr/ je me méfie des sites X (et des sites de cracks et warez), très souvent piégés. ne pas faire une confiance aveugle aux logiciels de protection: ils sont tous faillibles. la première cause d'infection est le manque de prudence et de discernement de l'internaute je ne clique pas sur n'importe quoi et je me méfie du Net, qui est autant un espace de loisir qu'un espace de profits, où certains sont sans foi ni loi. --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Pour te désinfecter: Télécharge HijackThis de Trend Micro: http://www.trendsecure.com/portal/en-US/to...ools/hijackthis Lance-le et sélectionne "Do a scan and save a logfile" HijackThis va créer un rapport: poste-le dans ta réponse.