Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[RESOLU] Infection BAGLE sous VISTA

hierry

Par hierry
dans Analyses et éradication malwares

 Partager

Messages recommandés

hierry Member

hierry

Posté(e)
  • Auteur
Posté(e)

OK, une petite question pratique est-ce que je peux reconnecter le PC infecté sur le réseau et lui redonner un accés internet ?

 

Mon plus vieux fils à 15ans et son PC portable perso mais je vais le harceler (lol)

oGu Godlike Member

oGu

Posté(e)
Posté(e)
OK, une petite question pratique est-ce que je peux reconnecter le PC infecté sur le réseau et lui redonner un accés internet ?

 

Si tu peux éviter, se sera mieux, car avec beagle ton PC n' a pas de protections résidentes et reste donc très vulnérable.

hierry Member

hierry

Posté(e)
  • Auteur
Posté(e)
Si tu peux éviter, se sera mieux, car avec beagle ton PC n' a pas de protections résidentes et reste donc très vulnérable.

 

Ok vais continuer avec mon portable sans le connecter au réseau familiale j'ai désinstallé emule et fait CCleaner et redémarré la machine Satinfo tourne avant affichage du choix de l'utlisateur. toujours les même problème d'accés à certain fichier voir mes premiers messages.

 

Je vais faire la procédure pour désactivation UAC après

hierry Member

hierry

Posté(e)
  • Auteur
Posté(e)

Voila la procédure est faite mais apparemment c'était déjà désactivé la case à coché n'était pas cochée !!

 

J'ai toujour une fenêtre qui s'ouvre au démarrage demandant "Select file to crack"

 

Dernier Rapport de ton Prg

 

 

Fri Jan 18 21:36:23 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

 

Fri Jan 18 21:36:30 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 18715

Nº Total de Ficheros: 325884

Nº de Ficheros Analizados: 13900

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

 

Fri Jan 18 22:55:15 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

 

Fri Jan 18 22:55:59 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 18708

Nº Total de Ficheros: 325774

Nº de Ficheros Analizados: 13900

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

 

Fri Jan 18 23:22:36 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

 

Fri Jan 18 23:24:22 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 18710

Nº Total de Ficheros: 325718

Nº de Ficheros Analizados: 13900

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

 

Sat Jan 19 00:17:41 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

 

Sat Jan 19 00:18:21 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 18683

Nº Total de Ficheros: 217857

Nº de Ficheros Analizados: 13895

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

 

Sat Jan 19 13:35:02 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

 

Sat Jan 19 13:35:59 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 18540

Nº Total de Ficheros: 215223

Nº de Ficheros Analizados: 13727

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)
J'ai toujour une fenêtre qui s'ouvre au démarrage demandant "Select file to crack"

 

??? Qu'est-ce qui t'ouvre cette fenêtre?? On verra ça après avoir tué Beagle avec un log HiajckThis.

 

 

EliBagla n'arrive décidemment pas à se défaire du rootkit: il est plus coriace qu'avant!!

 

Es-tu certain de travailler depuis un compte "administrateur" (celui créé par défaut par Vista par exemple) ??

 

On va essayer avec Gmer:

  • Télécharge Gmer sur ton bureau:
    http://www.gmer.net/gmer.zip
  • Déconnecte toi d'internet et ferme tous les programmes.
  • Décompresse le fichier zip et double-clic sur gmer.exe
  • Clic sur l'onglet "rootkit"
  • Clic sur "Scan"
  • Arrete le scan en cliquant sur Stop (pas la peine de le faire aller jusqu'au bout).
  • IMPORTANT: imprime les lignes que j'ai mise dans l'encart ci-dessous de manière à les avoir sous les yeux durant les opérations (tu ne pourras pas les copier-coller ni les voir sur internet pendant l'opération, car Gmer va fermer tous les processus...seule restera la fenêtre noire d'invite de commande, ne t'inquiète pas.)
     
    gmer -killall
  gmer -del service srosa
  gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\srosa"
  gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\srosa"
  gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\srosa"
  gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS"
  gmer -del file "C:\Windows\System32\drivers\hldrrr.exe"
  gmer -del file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE"
  gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT"
  gmer -reboot


  • Rend-toi ensuite dans ton menu "Démarrer"
  • Clique sur Exécuter et tape CMD puis "ok"
  • Dans la fenêtre noire qui s'ouvre, recopie chacune des lignes imprimées en étant très vigileant (syntaxe, espaces entre les mots...Prend ton temps!!), une par une, en validant chacune des entrées par la touche ENTREE.

Si à la fin le PC ne redémarre pas tout seul, fais un reset pour forcer le redémarrage.

 

 

 

Ensuite, poste un nouveau message indiquant comment s'est déroulée l'opération Gmer puis poste un nouveau rapport EliBagla pour voir si on lui a fait la peau.

Modifié par ogu
oGu Godlike Member

oGu

Posté(e)
Posté(e)

As-tu essayé plusieurs fois??

 

- Recommence STP, pour voir.

 

- Si pas d'amélioration: redémarre, relance Elibagla (sans redémarrer après), puis recommence l'opération avec Gmer à ce moment-là.

 

- Sois patient entre chaque ligne, l'élimination du driver peut peut-être prendre du temps...

hierry Member

hierry

Posté(e)
  • Auteur
Posté(e)
As-tu essayé plusieurs fois??

 

- Recommence STP, pour voir.

 

- Si pas d'amélioration: redémarre, relance Elibagla (sans redémarrer après), puis recommence l'opération avec Gmer à ce moment-là.

 

- Sois patient entre chaque ligne, l'élimination du driver peut peut-être prendre du temps...

 

 

C'est planté j'éteins et je ralume ? (plus la main sur le clavier juste la fenêtre commande ouverte et curseur qui clignote en dessous de la ligne C:\User\thierry\gmer -del service srosa)

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...