DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 26 Nov 2024 à 23:53 FAQ | Rechercher | Membres | Groupes

[Résolu] Pc infecté (Bagle)


Aller à la page Précédente  1, 2, 3, 4  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 20 Fév 2008 à 21:04    Sujet du message: Répondre en citant

RE, je te prépare une procédure demain matin en rentrant du travail  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
archange



Inscrit le: 19 Juin 2006
Messages: 40

MessagePosté le: 20 Fév 2008 à 21:48    Sujet du message: Répondre en citant

zaede a écrit:
RE, je te prépare une procédure demain matin en rentrant du travail


D'accord merci beaucoup pour ton aide Very Happy 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 21 Fév 2008 à 7:20    Sujet du message: Répondre en citant

Bonjour archange, avant de passer à une procédure refait un scan avec Elibagla pour être sur que le rootkit soit bien éliminé du PC
Après le passage d'Elibagla, vérifie si le mode sans échec fonctionne à nouveau. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
archange



Inscrit le: 19 Juin 2006
Messages: 40

MessagePosté le: 21 Fév 2008 à 11:42    Sujet du message: Répondre en citant

zaede a écrit:
Bonjour archange, avant de passer à une procédure refait un scan avec Elibagla pour être sur que le rootkit soit bien éliminé du PC
Après le passage d'Elibagla, vérifie si le mode sans échec fonctionne à nouveau.

J'ai lancé Elibagla au démarrage du pc, il a bel et bien trouvé 2 Dagle, et a supprimé les deux, mais après une application s'exécute automatiquement (l'application du "faux crack") et le pc redémarre.

Je te passe le contenu du fichier txt d'Elibagla:

Citation:

Thu Feb 21 10:22:51 2008
EliBagle v11.03 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Thu Feb 21 10:22:54 2008
EliBagle v11.03 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LOGITECHDESKTOPMESSENGER.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 5704
Nº Total de Ficheros: 119097
Nº de Ficheros Analizados: 8407
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2


C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE


Apparament l'accès est refusé sur ces trois fichiers.
Je dois aller les trouver moi-même (je veux dire sans l'aide d'un logiciel) et les supprimer? 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Geronimo
Equipe de sécurité


Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee

MessagePosté le: 21 Fév 2008 à 14:36    Sujet du message: Répondre en citant

Bonjour archange

- Je vais prendre provisoirement la main en espérant que zaede ne m'en voudra pas de trop.

1/

- Clique sur Démarrer ==> Tous les programmes ==> Accessoires ==> Explorateur Windows

- Copie/Colle dans la barre d'adresse d'adresses de l'Explorateur Windows :

C:\Documents and Settings\perso\Local Settings\Temporary Internet Files\Content.IE5


- Supprime tout ce qui se trouve dans Content.IE5 mais ne supprime pas le dossier lui même
- Vide la corbeille

Note : Tu ne pourra pas supprimer Index.dat ceci est normal c'est le fichier d'indexation.


2/

- Désactive la restauration du système sur tous les lecteurs.

- Comment désactiver la restauration du système : http://www.libellules.ch/desactiver_restauration.php

- Redémarre ton PC, ne réactive pas la restauration du système pour le moment.


3/

- Tes ennuis avec Winrar viennent probablement du fait que tu n'aie pas le bonne version pour ouvrir DiagHelp.zip

- Supprime le fichier téléchargé, retélécharge DiagHelp.zip de nouveau enregistre le sur le bureau c'est impératif


4/

- Je vais te faire télécharger et installer un autre archiveur.

- Télécharge et installe IZArc 3.81.1550 http://www.clubic.com/telecharger-fiche11017-izarc.html

5/

- Clic droit sur DiagHelp.zip dans le menu choisis Izarc ==> Extraire ici
- Tu devrais avoir maintemant un dossier nommé DiagHelp sur le bureau.


6/

- Dans le dossier DiagHelp que tu viens d'extraire, double-clique sur catchme.exe

- Deux fenêtres vont s'ouvrir, dans celle qui est grise, va dans l'onglet Script

- Surligne et copie-colle le texte en citation (sans le mot Citation) dans l'onglet Script


Citation:
files to kill:
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\Windows\System32\drivers\hldrrr.exe
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\mdelk.exe


- Tu dois voir ceci http://apu.mabul.org/up/apu/2008/02/18/img-142228qhyis.jpg.html

- Clique sur Run
- Redémarre ton PC
- Une fois ton PC redémarré, refais un scan avec EliBaglA poste son rapport 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
archange



Inscrit le: 19 Juin 2006
Messages: 40

MessagePosté le: 21 Fév 2008 à 17:01    Sujet du message: Répondre en citant

Geronimo a écrit:
- Supprime tout ce qui se trouve dans Content.IE5 mais ne supprime pas le dossier lui même


Mais ça risque pas de me bloquer l'accès à Internet ça? Shock 


Dernière édition par archange le 21 Fév 2008 à 17:02; édité 1 fois 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 21 Fév 2008 à 17:02    Sujet du message: Répondre en citant

Bonjour Geronimo,

Pas de soucis pour ça Very Happy 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Geronimo
Equipe de sécurité


Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee

MessagePosté le: 21 Fév 2008 à 17:34    Sujet du message: Répondre en citant

archange a écrit:
Geronimo a écrit:
- Supprime tout ce qui se trouve dans Content.IE5 mais ne supprime pas le dossier lui même


Mais ça risque pas de me bloquer l'accès à Internet ça? Shock


- Absolument pas tu as dans le dossier Content.IE5, plusieurs traces d'infection pat bagle il faut absolument supprimer tous les fichiers et dossiers qui se trouvent dans Content.IE5 vider ensuite la corbeille avant de continuer la procédure. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
archange



Inscrit le: 19 Juin 2006
Messages: 40

MessagePosté le: 21 Fév 2008 à 19:14    Sujet du message: Répondre en citant

Après le scan au démarrage le crack (faux crack), s'ouvre de nouveaux.
Voilà le résultat du scan Elibagla:

Citation:
Thu Feb 21 17:42:52 2008
EliBagle v11.03 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 5686
Nº Total de Ficheros: 108361
Nº de Ficheros Analizados: 8309
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1


Merci beaucoup pour votre aide!! Very Happy Smile 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Geronimo
Equipe de sécurité


Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee

MessagePosté le: 21 Fév 2008 à 19:23    Sujet du message: Répondre en citant

- Avec ce type d'infection il faut insister

- Supprime tout ce qui se trouve dans :

C:\Program Files\Emule\Incoming
C:\Program Files\Emule\Temp

- Vide la corbeille

- Ouvre le dossier DiagHelp , double-clique sur catchme.exe

- Deux fenêtres vont s'ouvrir, dans celle qui est grise, va dans l'onglet Script

- Copie-colle le texte en citation (sans le mot Citation) dans l'onglet Script


Citation:
files to kill:
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\Windows\System32\drivers\hldrrr.exe
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\mdelk.exe


- Tu dois voir ceci http://apu.mabul.org/up/apu/2008/02/18/img-142228qhyis.jpg.html

- Clique sur Run
- Redémarre ton PC
- Une fois redémarré, refais un scan avec EliBaglA poste son rapport 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
archange



Inscrit le: 19 Juin 2006
Messages: 40

MessagePosté le: 21 Fév 2008 à 20:48    Sujet du message: Répondre en citant

Donc j'ai fait ce que tu m'as dit sur la suppression des fichiers d'emule.
J'ai fait l'opération avec Diaghelp et fait le reste.
Ensuite j'ai fait l'analyse avec Elibagla dont voici le résultat:

Citation:
Thu Feb 21 19:23:40 2008
EliBagle v11.03 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Thu Feb 21 19:23:43 2008
EliBagle v11.03 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 5683
Nº Total de Ficheros: 109183
Nº de Ficheros Analizados: 8308
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

J'ai redémarrer le pc parce qu'il demandait un redémarrage du pc pour finir l'action de suppression, mais après avoir redémarrer le "faux crack" se relance automatiquement. Et fait redémarrer le pc au bout de quelques minutes.

J'ai remarqué qu'à chaque fois, le fichier qui reste est celui-ci:
C:\WINDOWS\system32\MDELK.EXE 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Geronimo
Equipe de sécurité


Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee

MessagePosté le: 21 Fév 2008 à 21:20    Sujet du message: Répondre en citant

- Il serait peut être temps de nous dire quel est le nom de ce "faux crack" nous ne sommes pas des devins.

- Tu m'oblige à te faire utiliser un outil plus puissant mais dangereux.

On passe aux choses sérieuses

1) Télécharger The Avenger par Swandog46 sur le Bureau
http://swandog46.geekstogo.com/avenger.zip

* Clique sur Avenger.zip pour ouvrir le fichier

* Extraire avenger.exe sur le Bureau

2) Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Citation:
Files to Delete:
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
C:\WINDOWS\system32\MDELK.EXE


IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour cet utilisateur.
si vous n'êtes pas cet utilisateur, ne pas appliquer ces directives : elles pourraient endommager votre système.


3) Maintenant, lancer The Avenger en cliquant sur son icône du bureau.
* Sous "Script file to execute" choisir "Input Script Manually".
* Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
* Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
* Cliquer Done
* ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
* Répondre "Yes" deux fois quand demandé.

4) The Avenger va automatiquement faire ce qui suit:
* Il va redémarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)

* Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.

*Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5) Pour finir copier/coller le contenu du ficher c:\avenger.txt dans une réponse


6) Refais un scan avec EliBaglA, poste son rapport 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
archange



Inscrit le: 19 Juin 2006
Messages: 40

MessagePosté le: 21 Fév 2008 à 23:59    Sujet du message: Répondre en citant

Geronimo a écrit:
- Il serait peut être temps de nous dire quel est le nom de ce "faux crack" nous ne sommes pas des devins.

- Tu m'oblige à te faire utiliser un outil plus puissant mais dangereux.

On passe aux choses sérieuses

1) Télécharger The Avenger par Swandog46 sur le Bureau
http://swandog46.geekstogo.com/avenger.zip

* Clique sur Avenger.zip pour ouvrir le fichier

* Extraire avenger.exe sur le Bureau

2) Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Citation:
Files to Delete:
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
C:\WINDOWS\system32\MDELK.EXE


IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour cet utilisateur.
si vous n'êtes pas cet utilisateur, ne pas appliquer ces directives : elles pourraient endommager votre système.


3) Maintenant, lancer The Avenger en cliquant sur son icône du bureau.
* Sous "Script file to execute" choisir "Input Script Manually".
* Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
* Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
* Cliquer Done
* ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
* Répondre "Yes" deux fois quand demandé.

4) The Avenger va automatiquement faire ce qui suit:
* Il va redémarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)

* Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.

*Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5) Pour finir copier/coller le contenu du ficher c:\avenger.txt dans une réponse


6) Refais un scan avec EliBaglA, poste son rapport


Ben moi non plus parce que quand la fenêtre du crack s'ouvre il n'y a pas marqué de nom Bad Grin

Sinon pourquoi ce logiciel est-il dangereux? Crying or Very sad 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Geronimo
Equipe de sécurité


Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee

MessagePosté le: 22 Fév 2008 à 0:17    Sujet du message: Répondre en citant

Citation:
Sinon pourquoi ce logiciel est-il dangereux?


- Il est dangereux lors ce que l'on ne connais pas sa manipulation et mis entre de mauvaises mains

- Il peut faire sauter le dossier Windows sans état d'âme pour peu que l'on lui dise de le faire. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
archange



Inscrit le: 19 Juin 2006
Messages: 40

MessagePosté le: 22 Fév 2008 à 2:08    Sujet du message: Répondre en citant

En fait quand j'ai extrait le logiciel, mais lorsque je double clic dessus, Window ne veut pas l'ouvrir:
C:\Document and Setting\perso\Bureau\avenger.exe n'est pas une application Win32 valide.


(Désolée d'avoir mis le temps pour répondre mais je n'étais pas chez moi Sad )
Le logiciel que tu m'as passé est un genre MoveOnBoot
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page Précédente  1, 2, 3, 4  Suivante 
Page 2 sur 4 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum