Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Win32.Bable.SUQ@mm [Résolu]

Sive

Par Sive
dans Analyses et éradication malwares

 Partager

Messages recommandés

Sive Member

Sive

Posté(e)
Posté(e) (modifié)

Après avoir récupéré mon PC chez le réparateur (voir mon post dans software), j'ai réinstallé internet, imprimante scanner ,différents outils (Norton corporate, kerio...). Tout fonctionnait bien pendant plusieurs jours mais depuis hier j'ai un pb.

Je me suis rendu compte que que norton et kerio n'apparaissaient plus dans la barre de tache.J'ai désinstaller Norton puis j'ai voulu le réinstaller mais impossible.

J'ai fait une analyse avec Bit defender et il me trouve le virus suivant : Win32.Bable.SUQ@mm, le fichier coupable étant le C:\WINDOWS\system32\mdelk.exe.

 

Si quelqu'un pouvait m'aider en étant si possible très précis dans ses explications car comme vous avez pu le constater, je n'y connais pas grand chose !

 

Encore merci.

Modifié par Sive

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir Sive,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

--> Les nouvelles variantes de Bagle sont très tenaces...

--> Nous allons tout faire pour te dépanner !

 

 

1) Télécharge ELIBAGLA (tout en bas de la page)

  • Clique sur Descargar Elibagla pour télécharger le fichier
  • Enregistre-le sur ton bureau
  • Double-clique sur ce fichier pour l'ouvrir
  • Assure-toi d'avoir "C:\" dans le menu Unidad
  • Vérifie que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
  • Clique sur le bouton Explorar pour lancer l'analyse
  • Poste le rapport créé C:\InfoSat.txt

elibagla.png

 

 

2) Télécharge DSS (ex ComboScan) (de Deckard) sur ton Bureau.

  • Ferme toutes les applications en cours
  • Double-clique sur dss.exe pour l'exécuter
  • A la fenêtre de mise en garde, clique sur OK
  • A la fin de l'analyse, clique sur OK (cela peut prendre quelques minutes)
  • Le rapport main.txt s'affichera, envoie ce rapport dans ta prochaine réponse

 

Bon travail à toi !

:P

Sive Member

Sive

Posté(e)
  • Auteur
Posté(e) (modifié)

Mon rapport elibagla :

 

Sat Mar 01 20:59:44 2008

EliBagle v11.09 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

 

Sat Mar 01 21:00:59 2008

EliBagle v11.09 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\eMule\emule 0.48a\eMule0.48a\Incoming\MICROSOFT MONEY 2008 17.0 (KEY+SERIAL).ZIP --> Eliminado Bagle.dldr

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

 

Nº Total de Directorios: 2463

Nº Total de Ficheros: 36642

Nº de Ficheros Analizados: 7380

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

 

Par contre je n'arrive pas à exécuter DSS, il se ferme au bout d'un moment en me disant qu'il a rencontré un problème ...

Pendant l'exécution une fenêtre apparait "the downloaded hijackthis do not match what's expected"

Modifié par Sive
WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir Sive,

 

*** Merci pour ta patience, la prise en charge de ton infection prend du temps... et je n'en avais pas suffisamment ! ***

 

 

mon PC rédémarre tout seul toutes les 5 minutes.

--> Tant que je ne vois pas de rapport plus complet, il est difficile de t'aider là-dessus, d'autant plus que ce problème peut être dû à... plein d'autres choses ! :P

 

 

C:\Program Files\eMule\emule 0.48a\eMule0.48a\Incoming\MICROSOFT MONEY 2008 17.0 (KEY+SERIAL).ZIP

--> Nous sommes certains de ceci : ton infection n'est pas arrivée toute seule !!! :P

 

 

Je te demanderai de bien lire les deux avertissements qui suivent en attendant que j'analyse tes rapports :

 

--> ATTENTION, les cracks ne sont rentables que parce qu'ils infectent ta machine !!! Je te renvoie à ce très bon article de tesgaz : A lire !

 

--> Les logiciels de p2p (eMule) sont des nids potentiels à infections ; pour t'en convaincre, lis l'excellent article de tesgaz

 

 

1) Suis ce tutoriel pour installer la console de récupération (si ce n'est déjà fait !) sur ta machine : http://www.zebulon.fr/dossiers/61-2-instal...ion-disque.html

 

 

2) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

  1. Enregistre HJTInstall.exe sur ton bureau hjt.gif
  2. Double-clique sur HJTInstall.exe pour lancer le programme
  3. Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
  4. Accepte la license en cliquant sur le bouton "I Accept"
  5. Choisis l'option "Do a system scan and save a log file"
  6. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
  7. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
  8. Colle le rapport que tu viens de copier sur ce forum
  9. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux : http://pagesperso-orange.fr/rginformatique.../demohijack.htm (ne fixe rien pour le moment !!)

http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

 

 

3) Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

  • Décompresse-le sur ton bureau
  • Un nouveau dossier va être créé (DiagHelp)
  • Ouvre le et double-clique sur go.cmd (le .cmd sera peut-être invisible)
  • Une fenêtre va s'ouvrir, choisis l'option 1
  • L'analyse peut prendre quelques minutes, appuie sur une touche quand on te le réclame
  • Copie/colle le rapport qui s'ouvre sur ce forum (tu pourras retrouver ce rapport sur C:\Resultat.txt)

N'oublie surtout pas d'appuyer sur une touche à la fin pour afficher le rapport !!

 

Note : Tu devras sans doute accepter une license pendant l'utilisation de l'outil, c'est évidemment sans risque, mais nécessaire !

 

 

Bon travail à toi !

:P

Sive Member

Sive

Posté(e)
  • Auteur
Posté(e)

Encore merci pour ton aide Wawaseb.

 

Je suis au boulot en ce moment donc j'essayerai de suivre tes instructions ce soir.

J'espère pouvoir faire tout ça mais comme mon PC rédémarre fréquemment ça risque d'être compliqué!

 

Je te tiens au courant.

Sive Member

Sive

Posté(e)
  • Auteur
Posté(e) (modifié)

Je n'arrive pas à installer la console de récupération (je n'ai pas le CD d'installation de windows XP).

Lorsque je tape c:i386\winnt32.exe/cmdcons il me dit que cela fait référence à un emplacement non disponible.

Pourtant je retrouve bien le fichier i386 mais pas de fichier winnt32.exe dedans...

 

Puis-je passer aux étapes 2 et 3 ou dois-je d'abord installer la console de récupération ?

Modifié par Sive
WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir Sive,

 

*** Tu poses de bonnes questions, c'est super ! *** :P

 

 

Puis-je passer aux étapes 2 et 3 ou dois-je d'abord installer la console de récupération ?

--> L'installation de la console de récupération constitue une belle sécurité, non-négligeable dans ce cas-ci...

 

# Tu peux toutefois créer un CD bootable intégrant cette console en suivant les instructions données dans ce lien.

  • Il faut juste pouvoir graver une image .ISO, mais si tu es habitué aux cracks, cela ne devrait pas poser trop de problème...
  • Prends bien celui qui correspond à ta version de Windows (Pro ou Home)
  • Je n'ai pas testé personnellement cette solution, mais d'après les retours lus sur différents forums, elle fonctionne !

--> Tu peux sans hésiter passer aux deux étapes suivantes qui ne modifient rien de profond dans le système ! :P

 

 

Pendant ce temps-là, je vais solliciter l'aide d'experts, car je voudrais éviter d'utiliser nos outils les plus puissants, afin de courir le moins de risque possible...

 

Accroche-toi, les infections par Bagle sont possibles à neutraliser... :P

 

Bonne nuit à toi !

Sive Member

Sive

Posté(e)
  • Auteur
Posté(e)

Désolé Wawaseb, mais je ne suis pas un habitué des cracks et je n'arrive pas à créer le CD bootable.

Il me semble que j'ai réussi à graver le CD mais comment aller plus loin ?

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour Sive,

 

 

je n'arrive pas à créer le CD bootable.

--> Ce n'est pas grave, continue avec les autres manipulations stp ! *** :P

--> J'ai vraiment besoin de tes deux rapports (HijackThis et DiagHelp) maintenant...

 

 

Passe une excellente journée !

:P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...