| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
zaede
Equipe de sécurité
Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est
|
 Posté le: 20 Fév 2008 à 21:04 Sujet du message: |
 |
|
| RE, je te prépare une procédure demain matin en rentrant du travail |
|
| Revenir en haut de page |
|
 |
archange
Inscrit le: 19 Juin 2006
Messages: 40
|
| Posté le: 20 Fév 2008 à 21:48 Sujet du message: |
|
|
| zaede a écrit: |
| RE, je te prépare une procédure demain matin en rentrant du travail |
D'accord merci beaucoup pour ton aide  |
|
| Revenir en haut de page |
|
|
zaede
Equipe de sécurité
Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est
|
| Posté le: 21 Fév 2008 à 7:20 Sujet du message: |
|
|
Bonjour archange, avant de passer à une procédure refait un scan avec Elibagla pour être sur que le rootkit soit bien éliminé du PC
Après le passage d'Elibagla, vérifie si le mode sans échec fonctionne à nouveau. |
|
| Revenir en haut de page |
|
|
archange
Inscrit le: 19 Juin 2006
Messages: 40
|
| Posté le: 21 Fév 2008 à 11:42 Sujet du message: |
|
|
| zaede a écrit: |
Bonjour archange, avant de passer à une procédure refait un scan avec Elibagla pour être sur que le rootkit soit bien éliminé du PC
Après le passage d'Elibagla, vérifie si le mode sans échec fonctionne à nouveau. |
J'ai lancé Elibagla au démarrage du pc, il a bel et bien trouvé 2 Dagle, et a supprimé les deux, mais après une application s'exécute automatiquement (l'application du "faux crack") et le pc redémarre.
Je te passe le contenu du fichier txt d'Elibagla:
| Citation: |
Thu Feb 21 10:22:51 2008
EliBagle v11.03 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Thu Feb 21 10:22:54 2008
EliBagle v11.03 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LOGITECHDESKTOPMESSENGER.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 5704
Nº Total de Ficheros: 119097
Nº de Ficheros Analizados: 8407
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
|
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
Apparament l'accès est refusé sur ces trois fichiers.
Je dois aller les trouver moi-même (je veux dire sans l'aide d'un logiciel) et les supprimer? |
|
| Revenir en haut de page |
|
|
Geronimo
Equipe de sécurité
Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee
|
| Posté le: 21 Fév 2008 à 14:36 Sujet du message: |
|
|
Bonjour archange
- Je vais prendre provisoirement la main en espérant que zaede ne m'en voudra pas de trop.
1/
- Clique sur Démarrer ==> Tous les programmes ==> Accessoires ==> Explorateur Windows
- Copie/Colle dans la barre d'adresse d'adresses de l'Explorateur Windows :
C:\Documents and Settings\perso\Local Settings\Temporary Internet Files\Content.IE5
- Supprime tout ce qui se trouve dans Content.IE5 mais ne supprime pas le dossier lui même
- Vide la corbeille
Note : Tu ne pourra pas supprimer Index.dat ceci est normal c'est le fichier d'indexation.
2/
- Désactive la restauration du système sur tous les lecteurs.
- Comment désactiver la restauration du système : http://www.libellules.ch/desactiver_restauration.php
- Redémarre ton PC, ne réactive pas la restauration du système pour le moment.
3/
- Tes ennuis avec Winrar viennent probablement du fait que tu n'aie pas le bonne version pour ouvrir DiagHelp.zip
- Supprime le fichier téléchargé, retélécharge DiagHelp.zip de nouveau enregistre le sur le bureau c'est impératif
4/
- Je vais te faire télécharger et installer un autre archiveur.
- Télécharge et installe IZArc 3.81.1550 http://www.clubic.com/telecharger-fiche11017-izarc.html
5/
- Clic droit sur DiagHelp.zip dans le menu choisis Izarc ==> Extraire ici
- Tu devrais avoir maintemant un dossier nommé DiagHelp sur le bureau.
6/
- Dans le dossier DiagHelp que tu viens d'extraire, double-clique sur catchme.exe
- Deux fenêtres vont s'ouvrir, dans celle qui est grise, va dans l'onglet Script
- Surligne et copie-colle le texte en citation (sans le mot Citation) dans l'onglet Script
| Citation: |
files to kill:
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\Windows\System32\drivers\hldrrr.exe
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\mdelk.exe |
- Tu dois voir ceci http://apu.mabul.org/up/apu/2008/02/18/img-142228qhyis.jpg.html
- Clique sur Run
- Redémarre ton PC
- Une fois ton PC redémarré, refais un scan avec EliBaglA poste son rapport |
|
| Revenir en haut de page |
|
|
archange
Inscrit le: 19 Juin 2006
Messages: 40
|
| Posté le: 21 Fév 2008 à 17:01 Sujet du message: |
|
|
| Geronimo a écrit: |
| - Supprime tout ce qui se trouve dans Content.IE5 mais ne supprime pas le dossier lui même |
Mais ça risque pas de me bloquer l'accès à Internet ça? 
Dernière édition par archange le 21 Fév 2008 à 17:02; édité 1 fois |
|
| Revenir en haut de page |
|
|
zaede
Equipe de sécurité
Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est
|
| Posté le: 21 Fév 2008 à 17:02 Sujet du message: |
|
|
Bonjour Geronimo,
Pas de soucis pour ça |
|
| Revenir en haut de page |
|
|
Geronimo
Equipe de sécurité
Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee
|
| Posté le: 21 Fév 2008 à 17:34 Sujet du message: |
|
|
| archange a écrit: |
| Geronimo a écrit: |
| - Supprime tout ce qui se trouve dans Content.IE5 mais ne supprime pas le dossier lui même |
Mais ça risque pas de me bloquer l'accès à Internet ça? |
- Absolument pas tu as dans le dossier Content.IE5, plusieurs traces d'infection pat bagle il faut absolument supprimer tous les fichiers et dossiers qui se trouvent dans Content.IE5 vider ensuite la corbeille avant de continuer la procédure. |
|
| Revenir en haut de page |
|
|
archange
Inscrit le: 19 Juin 2006
Messages: 40
|
| Posté le: 21 Fév 2008 à 19:14 Sujet du message: |
|
|
Après le scan au démarrage le crack (faux crack), s'ouvre de nouveaux.
Voilà le résultat du scan Elibagla:
| Citation: |
Thu Feb 21 17:42:52 2008
EliBagle v11.03 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 5686
Nº Total de Ficheros: 108361
Nº de Ficheros Analizados: 8309
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1 |
Merci beaucoup pour votre aide!!  |
|
| Revenir en haut de page |
|
|
Geronimo
Equipe de sécurité
Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee
|
| Posté le: 21 Fév 2008 à 19:23 Sujet du message: |
|
|
- Avec ce type d'infection il faut insister
- Supprime tout ce qui se trouve dans :
C:\Program Files\Emule\Incoming
C:\Program Files\Emule\Temp
- Vide la corbeille
- Ouvre le dossier DiagHelp , double-clique sur catchme.exe
- Deux fenêtres vont s'ouvrir, dans celle qui est grise, va dans l'onglet Script
- Copie-colle le texte en citation (sans le mot Citation) dans l'onglet Script
| Citation: |
files to kill:
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\Windows\System32\drivers\hldrrr.exe
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\mdelk.exe |
- Tu dois voir ceci http://apu.mabul.org/up/apu/2008/02/18/img-142228qhyis.jpg.html
- Clique sur Run
- Redémarre ton PC
- Une fois redémarré, refais un scan avec EliBaglA poste son rapport |
|
| Revenir en haut de page |
|
|
archange
Inscrit le: 19 Juin 2006
Messages: 40
|
| Posté le: 21 Fév 2008 à 20:48 Sujet du message: |
|
|
Donc j'ai fait ce que tu m'as dit sur la suppression des fichiers d'emule.
J'ai fait l'opération avec Diaghelp et fait le reste.
Ensuite j'ai fait l'analyse avec Elibagla dont voici le résultat:
| Citation: |
Thu Feb 21 19:23:40 2008
EliBagle v11.03 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Thu Feb 21 19:23:43 2008
EliBagle v11.03 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 5683
Nº Total de Ficheros: 109183
Nº de Ficheros Analizados: 8308
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
|
J'ai redémarrer le pc parce qu'il demandait un redémarrage du pc pour finir l'action de suppression, mais après avoir redémarrer le "faux crack" se relance automatiquement. Et fait redémarrer le pc au bout de quelques minutes.
J'ai remarqué qu'à chaque fois, le fichier qui reste est celui-ci:
C:\WINDOWS\system32\MDELK.EXE |
|
| Revenir en haut de page |
|
|
Geronimo
Equipe de sécurité
Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee
|
| Posté le: 21 Fév 2008 à 21:20 Sujet du message: |
|
|
- Il serait peut être temps de nous dire quel est le nom de ce "faux crack" nous ne sommes pas des devins.
- Tu m'oblige à te faire utiliser un outil plus puissant mais dangereux.
On passe aux choses sérieuses
1) Télécharger The Avenger par Swandog46 sur le Bureau
http://swandog46.geekstogo.com/avenger.zip
* Clique sur Avenger.zip pour ouvrir le fichier
* Extraire avenger.exe sur le Bureau
2) Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
| Citation: |
Files to Delete:
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
C:\WINDOWS\system32\MDELK.EXE |
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour cet utilisateur.
si vous n'êtes pas cet utilisateur, ne pas appliquer ces directives : elles pourraient endommager votre système.
3) Maintenant, lancer The Avenger en cliquant sur son icône du bureau.
* Sous "Script file to execute" choisir "Input Script Manually".
* Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
* Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
* Cliquer Done
* ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
* Répondre "Yes" deux fois quand demandé.
4) The Avenger va automatiquement faire ce qui suit:
* Il va redémarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
* Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
*Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5) Pour finir copier/coller le contenu du ficher c:\avenger.txt dans une réponse
6) Refais un scan avec EliBaglA, poste son rapport |
|
| Revenir en haut de page |
|
|
archange
Inscrit le: 19 Juin 2006
Messages: 40
|
| Posté le: 21 Fév 2008 à 23:59 Sujet du message: |
|
|
| Geronimo a écrit: |
- Il serait peut être temps de nous dire quel est le nom de ce "faux crack" nous ne sommes pas des devins.
- Tu m'oblige à te faire utiliser un outil plus puissant mais dangereux.
On passe aux choses sérieuses
1) Télécharger The Avenger par Swandog46 sur le Bureau
http://swandog46.geekstogo.com/avenger.zip
* Clique sur Avenger.zip pour ouvrir le fichier
* Extraire avenger.exe sur le Bureau
2) Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
| Citation: |
Files to Delete:
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
C:\WINDOWS\system32\MDELK.EXE |
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour cet utilisateur.
si vous n'êtes pas cet utilisateur, ne pas appliquer ces directives : elles pourraient endommager votre système.
3) Maintenant, lancer The Avenger en cliquant sur son icône du bureau.
* Sous "Script file to execute" choisir "Input Script Manually".
* Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
* Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
* Cliquer Done
* ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
* Répondre "Yes" deux fois quand demandé.
4) The Avenger va automatiquement faire ce qui suit:
* Il va redémarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
* Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
*Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5) Pour finir copier/coller le contenu du ficher c:\avenger.txt dans une réponse
6) Refais un scan avec EliBaglA, poste son rapport |
Ben moi non plus parce que quand la fenêtre du crack s'ouvre il n'y a pas marqué de nom 
Sinon pourquoi ce logiciel est-il dangereux?  |
|
| Revenir en haut de page |
|
|
Geronimo
Equipe de sécurité
Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee
|
| Posté le: 22 Fév 2008 à 0:17 Sujet du message: |
|
|
| Citation: |
| Sinon pourquoi ce logiciel est-il dangereux? |
- Il est dangereux lors ce que l'on ne connais pas sa manipulation et mis entre de mauvaises mains
- Il peut faire sauter le dossier Windows sans état d'âme pour peu que l'on lui dise de le faire. |
|
| Revenir en haut de page |
|
|
archange
Inscrit le: 19 Juin 2006
Messages: 40
|
| Posté le: 22 Fév 2008 à 2:08 Sujet du message: |
|
|
En fait quand j'ai extrait le logiciel, mais lorsque je double clic dessus, Window ne veut pas l'ouvrir:
C:\Document and Setting\perso\Bureau\avenger.exe n'est pas une application Win32 valide.
(Désolée d'avoir mis le temps pour répondre mais je n'étais pas chez moi  )
Le logiciel que tu m'as passé est un genre MoveOnBoot? |
|
| Revenir en haut de page |
|
|
Ajouter à : 
|
|
Ce que nous vous conseillons :
