[RESOLU] Infection BAGLE sous VISTA

[oGu]

Le rapport indique que le fichier hldrr est introuvable, or celui qui nous intéresse est hldrrR.

 

Recommence la manip' du message #39.

[hierry]

Je pense que c'est bon le temps que je fasse la manip pour t'envoyer le fichier texte j'ai inscris la deuxieme ligne en majuscules

[oGu]

Relance EliBagla que l'on voit où nous en sommes au niveau des drivers infectieux.

[hierry]

Rapport (un peu long mais faut faire un copier/coller d'un texte dans une fenêtre de commande et aprés déconnecter la clef USB reconnecter sur le portable et tout et tout)

 

 

Processing "Files to kill:"

 

file zipped: C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS -> catchme.zip -> SROSA.SYS.3

( 108002 bytes )

PE file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS" killed successfully

file zipped: C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE -> catchme.zip -> HLDRRR.EXE

.2 ( 800270 bytes )

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE is damaged PE file

PE file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE" killed successfully

file zipped: C:\WINDOWS\SYSTEM32\WINTEMS.EXE -> catchme.zip -> WINTEMS.EXE.3 ( 7

0660 bytes )

C:\WINDOWS\SYSTEM32\WINTEMS.EXE is damaged PE file

PE file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE" killed successfully

[oGu]

Je n'ai pas l'impression que Catchme supprime les drivers, ils sont là à chaque nouvelle tentative. Poste-moi un rapport EliBagla que l'on voit les drivers restants.

 

Puis on essaiera avec BlackLight, puis je n'aurais hélas rien de plus à proposer dans un premier temps.

[hierry]

Faut qu'il soit lancé au démarrage? Je l'ai lancé une premier fois comme ca j'ai un paquet de "Acceso denegado a la carpeta" sur plein de fichiers.

 

Et le log n'a pas changé d'heure !

 

J'ai toujours MDELK.EXE -> Bagle

Modifié le 19 janvier 2008 par hierry

[oGu]

C'est peut-être ce MDELK.EXE qui relance systématiquement bagle.

 

 

Essaie maintenant avec ce code:

 

files to kill:
C:\WINDOWS\SYSTEM32\mdelk.exe 
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\Windows\System32\drivers\HLDRRR.exe
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\WINDOWS\system32\drivers\hidr.exe

 

Puis supprime ce fichier à la main:

 

C:\Windows\System32\drivers\down

Modifié le 19 janvier 2008 par ogu

[hierry]

Voici copie d'écran

 

Processing "Files to kill:"

 

file zipped: C:\WINDOWS\SYSTEM32\MDELK.EXE -> catchme.zip -> MDELK.EXE ( 70660 b

ytes )

PE file "C:\WINDOWS\SYSTEM32\MDELK.EXE" killed successfully

file zipped: C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS -> catchme.zip -> SROSA.SYS.4

( 108002 bytes )

PE file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS" killed successfully

file zipped: C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE -> catchme.zip -> HLDRRR.EXE

.3 ( 800270 bytes )

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE is damaged PE file

PE file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE" killed successfully

file zipped: C:\WINDOWS\SYSTEM32\WINTEMS.EXE -> catchme.zip -> WINTEMS.EXE.4 ( 7

0660 bytes )

C:\WINDOWS\SYSTEM32\WINTEMS.EXE is damaged PE file

PE file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE" killed successfully

read file error: C:\WINDOWS\SYSTEM32\BAN_LIST.TXT, Le fichier spécifié est intro

uvable.

read file error: C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE, Le fichier spécifié est i

ntrouvable.

 

 

JE NE TROUVE PAS LE DERNIER FICHIER A SUPPRIMER A LA MAIN JE N'AI PAS DE DIR DRIVERS SOUS SYSTEM32

 

LE FICHIER MDELK.EXE EST ENCORE DANS LA DIRECTORY AVEC UNE HEURE DE CREATION A 19H47

[oGu]

Le fichier revient sans cesse, il doit se recréer.

 

Ultime tentative avant changement d'outil:

 

files to kill:
C:\Windows\System32\drivers\down

[hierry]

Le fichier revient sans cesse, il doit se recréer.

 

Ultime tentative avant changement d'outil:

 

files to kill:
C:\Windows\System32\drivers\down

 

 

J'ai essayé sous fenetre dos de supprimer la dir down => acces refusé, je tente les lignes de commandes ci-dessus

 

Meme résultat avec catchme.exe acces refusé