panne sérieuse - à l'aide-

[sergio55]

Bonjour,

 

* Télécharger OTMoveIt (de Old_Timer) sur leBureau.

http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

* Double-cliquer sur OTMoveIt.exe pour le lancer.

*Vérifier que Unregister Dll's and Ocx's soit coché.

* Copier-coller dans le cadre de gauche de OTMoveIt :

Paste List of Files/Folders to be moved

 

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS

C:\Windows\System32\drivers\hldrrr.exe

C:\WINDOWS\SYSTEM32\WINTEMS.EXE

 

* Cliquer sur MoveIt! pour lancer la suppression.

* Le résultat apparaitra dans le cadre Results. Copier le résultat.

* Cliquer sur Exit pour fermer.

 

voici le résultat.

qu'en pensez vous

 

cordialement

 

File/Folder C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS not found.

File/Folder C:\Windows\System32\drivers\hldrrr.exe not found.

File/Folder C:\WINDOWS\SYSTEM32\WINTEMS.EXE not found.

 

Created on 01/27/2008 20:29:44

[sergio55]

voici le résultat.

qu'en pensez vous

 

cordialement

 

File/Folder C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS not found.

File/Folder C:\Windows\System32\drivers\hldrrr.exe not found.

File/Folder C:\WINDOWS\SYSTEM32\WINTEMS.EXE not found.

 

Created on 01/27/2008 20:29:44

[sergio55]

merci à l'avance pour celui ou celle qui voudra bien se pencher sur mon probleme. Faut 'il que je reformate?

[pear]

Bonjour,

 

Si Moveit ne trouve rien, c'est peut-être qu'Elibagla a fait son travail.

 

Essayez ceci:

 

Ouvrez un dossier sur C:\, par exemple C:\Eli

Télécharges y et installez Elibagla et relancez le.

 

Postez le rapport.

[sergio55]

Bonjour,

 

Si Moveit ne trouve rien, c'est peut-être qu'Elibagla a fait son travail.

 

Essayez ceci:

 

Ouvrez un dossier sur C:\, par exemple C:\Eli

Télécharges y et installez Elibagla et relancez le.

 

Postez le rapport.

 

 

Bonsoir,

 

voici le rapport

 

merci pour votre aide

 

 

 

Sun Jan 27 17:25:58 2008

EliBagle v10.92 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

 

Sun Jan 27 17:26:52 2008

EliBagle v10.92 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 5748

Nº Total de Ficheros: 82388

Nº de Ficheros Analizados: 14494

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

 

Sun Jan 27 18:26:06 2008

EliBagle v10.92 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

 

Sun Jan 27 18:27:31 2008

EliBagle v10.92 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

 

Sun Jan 27 18:32:16 2008

EliBagle v10.92 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 3914

Nº Total de Ficheros: 54482

Nº de Ficheros Analizados: 3482

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

 

Sun Jan 27 18:43:16 2008

EliBagle v10.92 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

 

Sun Jan 27 18:44:33 2008

EliBagle v10.92 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 5748

Nº Total de Ficheros: 82379

Nº de Ficheros Analizados: 14495

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

 

Sun Jan 27 18:59:50 2008

EliBagle v10.92 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

 

Mon Jan 28 18:31:25 2008

EliBagle v10.92 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

 

Mon Jan 28 18:31:39 2008

EliBagle v10.92 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 5749

Nº Total de Ficheros: 82349

Nº de Ficheros Analizados: 14497

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

[pear]

Pas de chance, Bagle est encore là.

 

Un correspondant ,'aujourd'hui ,prétend l'avoir éliminé avec Nod32.

 

On va l'essayer:

 

Cliquer sur le lien suivant > ESET Online Scanner Link

http://www.eset.com/onlinescan/

 

* Cocher la case YES, I accept the Terms Of Use

* Cliquer sur le bouton Start

* Cliquer ensuite sur le bouton Install

* Clique sur Start

* Le scanner va se mettre à jour.

* Ne pas cocher la case Remove found threats

* Clique sur le bouton Scan

* Le scan va se lancer:

* Lorsque le scan s'achève, cliquer sur le menu Details

* Copier/coller le contenu du rapport généré:

il se trouve ici > C:\Program Files\EsetOnlineScanner et se nomme log.txt

Modifié le 28 janvier 2008 par pear

[sergio55]

Pas de chance, Bagle est encore là.

 

Un correspondant ,'aujourd'hui ,prétend l'avoir éliminé avec Nod32.

 

On va l'essayer:

 

Cliquer sur le lien suivant > ESET Online Scanner Link

http://www.eset.com/onlinescan/

 

* Cocher la case YES, I accept the Terms Of Use

* Cliquer sur le bouton Start

* Cliquer ensuite sur le bouton Install

* Clique sur Start

* Le scanner va se mettre à jour.

* Ne pas cocher la case Remove found threats

* Clique sur le bouton Scan

* Le scan va se lancer:

* Lorsque le scan s'achève, cliquer sur le menu Details

* Copier/coller le contenu du rapport généré:

il se trouve ici > C:\Program Files\EsetOnlineScanner et se nomme log.txt

 

 

 

Merci mais c'est impossible à faire c

 

Merci mais c'est impossible à faire car je n'ai pas d'accés en ligne sur l'ordi infecté.

 

 

une autre idée ?

[pear]

Dommage,

 

Télécharger gmer à partir de l'une de ces adresses :

http://www.gmer.net/gmer.zip

 

Déconnecter internet si possible et fermer tous les programmes.

Décompresser le fichier zip et double-clic sur gmer.exe

IMPORTANT: Si une alerte de l' antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laissez le s'executer.

Clic sur l'onglet "rootkit"

Clic sur Scan

Arreter le scan en cliquant sur Stop (pas la peine de le faire aller jusqu'au bout).

 

 

++++++++++

Menu Démarrer-> executer

et taper : cmd puis clic sur OK.

Taper chacune de ces commandes en appuyant sur la touche entrée à chaque fois pour valider la commande :

 

 

CITATION

gmer -killall

gmer -del service srosa

gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\srosa"

gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\srosa"

gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\srosa"

gmer -del file "c:\WINDOWS\system32\drivers\srosa.sys"

gmer -del file "c:\WINDOWS\system32\drivers\hidr.exe"

gmer -reboot

 

 

 

Si le PC ne redémarre pas, faire un reset.

[sergio55]

Dommage,

 

Télécharger gmer à partir de l'une de ces adresses :

http://www.gmer.net/gmer.zip

 

Déconnecter internet si possible et fermer tous les programmes.

Décompresser le fichier zip et double-clic sur gmer.exe

IMPORTANT: Si une alerte de l' antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laissez le s'executer.

Clic sur l'onglet "rootkit"

Clic sur Scan

Arreter le scan en cliquant sur Stop (pas la peine de le faire aller jusqu'au bout).

++++++++++

Menu Démarrer-> executer

et taper : cmd puis clic sur OK.

Taper chacune de ces commandes en appuyant sur la touche entrée à chaque fois pour valider la commande :

CITATION

gmer -killall

gmer -del service srosa

gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\srosa"

gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\srosa"

gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\srosa"

gmer -del file "c:\WINDOWS\system32\drivers\srosa.sys"

gmer -del file "c:\WINDOWS\system32\drivers\hidr.exe"

gmer -reboot

Si le PC ne redémarre pas, faire un reset.

 

Merci

Quand j'ai fais l'exec gmer, le scan a demarré puis s'est arreté et l'ordi a bugué.

Il y aeu une recherche de l'intégrité du disque au redémarrage

 

j'ai lançé les commandes après Cmd. l'ordinateur a bugué à la 6eme ligne

 

voila je suis un peu désespéré

[jet]

Merci

Quand j'ai fais l'exec gmer, le scan a demarré puis s'est arreté et l'ordi a bugué.

Il y aeu une recherche de l'intégrité du disque au redémarrage

 

j'ai lançé les commandes après Cmd. l'ordinateur a bugué à la 6eme ligne

 

voila je suis un peu désespéré

 

Perso, j avais le spyware Bagle (il y a encore qqs minutes).

Une technique qui a marché, c'est de booter avec une autre partition (bon il faut windows d installé dessus...) et de lancer ELIBAGLA.

Il m a trouvé Bagle et me l a effacé alors que ca ne marchait sur mon disque de départ verolé.