Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Bagle NM

Calexo

Par Calexo
dans Analyses et éradication malwares

 Partager

Messages recommandés

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Le log Hijackthis est propre.

 

Vider la corbeille.

 

* Faire un scan en ligne Kaspersky

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

 

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisirr bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème :Cybersécurité

http://cybersecurite.xooit.com/t100-Scan-e...spersky.htm#768

NOTE: Le scan est à faire avec Internet Explorer.

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Ce webscan ne détecte pas ma version de windows (XP) et refuse du coup de se lancer !!

 

Ce n'est pas bon signe.

Je crains que Bagle soit encore là.

 

Télécharger The Avenger par Swandog46 sur le Bureau.

http://swandog46.geekstogo.com/avenger2/download.php

l'extraire sur le bureau

***Copier tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

 

drivers to delete:

hldrrr

srosa

 

Files to Delete:

 

C:\WINDOWS\system32\BAN_LIST.txt

C:\WINDOWS\SYSTEM32\WINTEMS.EXE

C:\WINDOWS\system32\drivers\down

C:\WINDOWS\system32\drivers\srosa.sys

C:\Windows\System32\drivers\hldrrr.exe

 

 

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

***Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

 

* Sous "Script file to execute" choisir "Input Script Manually".

* Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"

* Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).

* Cliquer Done

* ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script

* Répondre "Yes" deux fois quand demandé.

 

 

***The Avenger va automatiquement faire ce qui suit:

 

* Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)

* Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.

* Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici : C:\avenger\backup.zip.

 

 

Relancez Elibagla:

Ne pas utiliser le mode Sans Echec !

1)Télécharger ELIBAGLA en bas de cette page > http://www.zonavirus.com/datos/descargas/95/elibagla.asp

 

* Cliquer sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur le bureau.

* Double-cliquer dessus pour l'ouvrir.

* S'assurer que dans le menu déroulant Unidad, il y ait bien C:\

* Vérifier aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.

* Cliquer sur le bouton Explorar pour lancer l'analyse.

 

Poster le rapport ELIBAGLA qui se trouve ici > C:\InfoSat.txt

Calexo Junior Member

Calexo

Posté(e)
  • Auteur
Posté(e)

C'est parti !

Pour info, la procédure pour la dernière version de Avenger a changé :

- coller le script dans la zone (CTRL+V)

- lancer le script

- cliquer sur OK pour redémarrer

 

Amicalement,

Calexo Junior Member

Calexo

Posté(e)
  • Auteur
Posté(e) 

Logfile of The Avenger Version 2.0, © by Swandog46
[url="http://swandog46.geekstogo.com"]http://swandog46.geekstogo.com[/url]

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\hldrrr" not found!
Deletion of driver "hldrrr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\srosa" not found!
Deletion of driver "srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist


Error:  file "C:\WINDOWS\system32\BAN_LIST.txt" not found!
Deletion of file "C:\WINDOWS\system32\BAN_LIST.txt" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist


Error:  file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE" not found!
Deletion of file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist


Error: "C:\WINDOWS\system32\drivers\down" is a folder, not a file!
Deletion of file "C:\WINDOWS\system32\drivers\down" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
 --> use "Folders to delete:" instead of "Files to delete:" to delete a directory


Error:  file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist


Error:  file "C:\Windows\System32\drivers\hldrrr.exe" not found!
Deletion of file "C:\Windows\System32\drivers\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

 

 

Donc plus rien...

 

Juste ce "user-agent" bidon...

Calexo Junior Member

Calexo

Posté(e)
  • Auteur
Posté(e)
Vous pouvez préciser ?

Le user-agent détecté par Kaper est : "unknown"...

 

Voila :

Incident Statut Analyse

Outil indésirable:Application/Pskill.K No Désinfecté C:\Applis\Nettoyage\clean.zip[clean/pskill.exe]

Outil indésirable:Application/Processor No Désinfecté C:\Applis\Nettoyage\SDFix.exe[sDFix\apps\Process.exe]

 

et des cookies

Donc plus rien, à ce niveau là

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Pour désinstaller les outils utilisés:

 

Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Et Bon Vent!

Calexo Junior Member

Calexo

Posté(e)
  • Auteur
Posté(e)
Bonsoir,

 

Pour désinstaller les outils utilisés:

 

Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Et Bon Vent!

 

 

Merci ENORMEMENT pour tout cela !!!!!!

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour

 

L'infection baggle a bien été éliminée grâce à l'utilisation du CF renommé,

mais,dans l'état actuel,le pc n'est plus protégé par Norton.

 

Le processus Norton qui permet de scanner le pc en temps réel n'est plus actif > Rtvscan.exe

Donc, on va éliminer la restriction dans le registre qui désactive le monitoring de Norton >

DisableMonitoring

 

Copiez/collez dans le bloc notes,sur le bureau,sans ligne blanche au début,

enregistrez sous regist.reg et fusionnez(clic droit sur regist.reg)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"=-

 

Après cela,si Norton n'est toujours pas actif,il sera surement nécéssaire de le réinstaller!

( Baggle détruisant les AV...)

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...