Infecté par Bagle, ecran bleu [RESOLU]

[posecafe]

Bonjour,

 

Mon pc ne démarre plus, j'ai un écran bleu avec un message " ce pilote doit être défaillant : SROSA.SYS "

 

J'ai branché un autre disque en maitre et j'ai mis le disque infecté en esclave.

J'ai booté avec le nouveau disque et j'ai fait un scan en ligne avec Kaspersky.

Celui-ci a détecté deux fichiers infectés par Bagle.aei

 

Mais cela ne résoud pas mon problème. Mon pc ne démarre toujours pas avec mon disque initial : Toujours cet ecran bleu.

Idem en mode sans échec.

 

J'aimerai éviter d'avoir à reformater si possible.

 

Pouvez-vous me venir en aide svp ?

 

Os : Windows 2000 sp4

Modifié le 26 octobre 2008 par posecafe

[Apollo]

Bonjour,

 

Première chose à faire: virer tes cracks pour éviter la réinfection immédiate.

 

NB: je connais mal Win2000, j'aurai peut-être besoin de renseignements donc je te demande de la patience.

 

Avant de commencer avec ComboFix, insère ou connecte tous tes supports amovibles.

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil est dangereux!

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci > combo-fix --> le tiret est important. <--
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur combofix.exe.
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

@++

[posecafe]

Bonjour Apolo, Merci de prendre en charge mon problème.

 

Juste une question avant de commencer tes manip,

tu as bien compris que mon systeme ne démarrait plus et que j'ai du brancher un autre DD pour scanner mon disque infecté ?

[Apollo]

Re,

 

Oui et dans ce cas tu dois booter sur un Reskue Disk.

C'est la seule chose que je puisse encore te proposer.

(Sauf si les conseillers que je vois lire ont une meilleure solution).

 

 

Téléchargement de l'image ISO

 

Page de téléchargement pour vérifier l'arrivée de nouvelles versions: ICI

 

TUTO de Malekal

 

EDIT: Pour graver l'iso: http://www.ntfs.com/iso-burning.htm

 

Si ça marche tu vas peut-être pouvoir faire démarrer le pc après et on pourra finir Bagle.

 

++

Modifié le 24 octobre 2008 par Apollo

[posecafe]

Ok, j'ai lancé le scan avec Reskue Disk de KAV; ça tourne.

 

J'attends donc la fin et si je peux démarrer sur mon disque j'applique combofix.

C'est bien ça ?

[Apollo]

Re

 

Si le cd a booté , c'est déjà une bonne chose.

 

C'est pour l'instant le seul espoir de retrouver un redémarrage de Windows, même si le ReskueDisk ne va pas nettoyer le registre.

 

Mais en effet, si le pc peut redémarrer, ComboFix pourra attaquer Bagle et le détruire.

J'espère que tu n'as pas chopé le Bagle dernière génération...

 

On verra bien.

 

@++

[posecafe]

Re,

 

Je me demande tout de même si c'est bien utile de lancer ce scan.

 

En effet le disque infecté a déja été scanné par Kasperky en ligne et j'ai supprimé les 2 fichiers infectés qu'il a trouvé.

 

Donc théoriquement il ne va rien trouver. Et mon disque ne sera toujours pas bootable.

 

Qu'en penses-tu ?

[Apollo]

Re,

 

Bagle crée bien plus que deux fichiers!

 

Tu dois laisser aller cette longue analyse au bout ou c'est le format avec pertes et fracas.

Et la récupération de dossiers/fichiers, même avec un CD de récupération genre Linux n'est pas sûre du tout dans ce cas. (because infection).

 

Voici toujours le tuto:

 

http://www.vista-xp.fr/forum/topic2618.html

 

Mais attends toujours, je vais demander conseil à plus averti que moi.

 

@++

[posecafe]

Re,

 

 

je laisse tourner, je reviens lorsque c'est terminé.

 

Encore merci de on aide

[Apollo]

Re,

 

Est-ce que le LiveCd trouve et liquide des choses?

Où en es-tu?

 

Si le Reskue Disk ne te faisait pas récupérer le démarrage de Windows, voici l'info que m'a donnée un conseiller par MP.

 

Si le disque est en esclave et qu'il ne boote plus dessus, il peut le nettoyer avec antivir et MBAM (scan de ce disque spécifique).

Sinon, ça ne sert à rien de le mettre en esclave, autant booter sur le cd de windows et faire une réinstallation sans pertes :

http://www.micro-astuce.com/depannage/repa...-windows-XP.php (pas de formatage, on retrouve ses programmes et tout)

 

Tout dépend de l'antivirus disponible sur le disque sain; Antivir ou Kaspersky feraient l'affaire.

 

Une analyse et nettoyage avec MBAM en sus, serait également la bienvenue.

 

Antivir: http://www.free-av.com/en/download/index.html

Kaspersky antivirus (demo 30 jours): http://www.kaspersky.com/fr/trials?chapter=186498689

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à être redémarré, redémarre le pc.

 

Ceci est déjà la façon d'éviter le format complet.

Mais s'il y a moyen de récupérer le démarrage de Windows, l'exécution de ComboFix pourrait arranger bien des choses.

 

@++