[fredodu]

 

[zaede]

Bonjour fredodu

bagle n'est jamais simple à gérer



Désactive l'UAC-User Account Control - contrôle des comptes utilisateurs

- Démarrer ==> Panneau de Configuration
- Double clique sur l'icône Comptes d'utilisateurs
- Clique ensuite sur Désactiver et valide.


- Télécharge FindyKill (de Chiquitine29)

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe Enregistre ce fichier sur le bureau

- Double clic sur FindyKill.exe afin de lancer son installation

- Double clic sur le raccourci FindyKill qui est sur le bureau

- Au menu principal, choisis l'option 1 (Recherche)

- La recherche terminée poste le contenu de C:\FindyKill.txt

- Aide pour FindyKill http://www.malekal.com/tutorial_FindyKill.php

NOTE:
FindyKill peut être détecté par certains antivirus.
Ne pas en tenir compte, c'est un faux positif
Cliquer sur ignorer et continuer la procédure 

[fredodu]

 

[zaede]

Bonjour fredodu, ne t'éparpille pas en tous les sens et suis cette procédure

En mode normal mais en cas de problème en mode sans echec



1/

- Relance FindyKill, choisis l'option 2 (Suppression) au menu principal

- Pendant la phase de suppression le PC va redémarrer, laisse travailler l'outil jusqu'à l'apparition du message Nettoyage effectué !

- Poste le contenu C:\FindyKill.txt dans ta prochaine réponse.


Ensuite, fait ceci et poste également le rapport

- Suis précisément les instructions données pour le téléchargement et l'enregistrement du fichier c'est important

-Fais un clic droit sur l'un de ces liens
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

- Choisis Enregistrer la cible sous ...
- Choisis le bureau comme lieu d'enregistrement

- Donne lui ce nom ce nom Combo-Fix.exe clique sur Enregistrer

- Fais un clic droit sur Combo-Fix.exe et choisis "Exécuter en tant que... Administrateur". laisse ensuite le scan se dérouler sans toucher au clavier ni à la souris

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

[fredodu]

En attendant la suite. J'ai du lancer Log supprimé 

[fredodu]

La suite avec Log supprimé 2009-01-08 17:08:41 

[zaede]

 

[fredodu]

PAs le courage ce soir et pas envie d'y passer encore la nuit. Demain pour la réponse
Merci pour aide

Fredo 

[fredodu]

Re Bonjour,

J'ai pas réussi à installer Mcafee via le site Mcafee (j'ai pas de CD). Le programe d'install cesse de fonctionner. De plus je ne peux pas acceder à la plupart des liens supports (FAQ) du site, j'ai un message d'erreur.
Que dois je faire! D'abord télécharger un antivirus gratos ou activer bit defender ou supprimer tous les programmes que j'ai chargés pour éradiquer le virus?

Merci 

[fredodu]

J'ai refait un Log supprimé 

[zaede]

RE, repasse l'option 2 de findykill puis refait un scan avec combofix


Poste les rapports puis fait ceci:


Désactive l'UAC-User Account Control - contrôle des comptes utilisateurs

- Démarrer ==> Panneau de Configuration
- Double clique sur l'icône Comptes d'utilisateurs
- Clique ensuite sur Désactiver et valide.


Télécharge EliBaglA.exe
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

- Clique en bas de la page sur le bouton Descargar Elibagla enregistre ce fichier sur le bureau.

- Double-clique EliBaglA.exe pour l'ouvrir

- Assure toi que dans le menu déroulant Unidadqu'il y aie bien C:\

-Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée

- Clique sur le bouton Explorar pour lancer l'analyse.

- L'analyse finie redémarre poste le rapport d'EliBaglA qui se trouve ici C:\InfoSat.txt 

[fredodu]

Hier soir j'ai tout refait
1 Log supprimé
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
C:\Program Files\MSN Messenger\MSNMSGR.EXE --> Eliminado Bagle.dldr
C:\Qoobox\Quarantine\C\hp\support\HPSYSDRV.EXE.VIR --> Eliminado Bagle.dldr
C:\Qoobox\Quarantine\C\Users\administrateur1\AppData\Roaming\drivers\WINUPGRO.EXE.VIR --> Eliminado Bagle.dldr
C:\Qoobox\Quarantine\C\Users\Les parents\AppData\Roaming\drivers\WINUPGRO.EXE.VIR --> Eliminado Bagle.dldr
C:\Qoobox\Quarantine\C\Users\test\AppData\Roaming\drivers\SROSA.SYS.VIR --> Eliminado Bagle(rootkit)
C:\Qoobox\Quarantine\C\Users\test\AppData\Roaming\drivers\WINUPGRO.EXE.VIR --> Eliminado Bagle.dldr
C:\Qoobox\Quarantine\C\Users\test\AppData\Roaming\drivers\downld\3979803.EXE.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\Users\test\AppData\Roaming\drivers\downld\4023187.EXE.VIR --> Eliminado Bagle.dldr
C:\Qoobox\Quarantine\C\Users\test\AppData\Roaming\m\FLEC006.EXE.VIR --> Eliminado Bagle.dldr
C:\Qoobox\Quarantine\C\Windows\System32\MDELK.EXE.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\Windows\System32\WINTEMS.EXE.VIR --> Eliminado Bagle
C:\Users\administrateur1\AppData\Roaming\drivers\SROSA.SYS --> Eliminado Bagle(rootkit)
C:\Users\administrateur1\AppData\Roaming\drivers\SROSA2.SYS --> Eliminado Bagle(rootkit)
C:\Users\administrateur1\AppData\Roaming\drivers\WINUPGRO.EXE --> Eliminado Bagle.dldr
C:\Users\administrateur1\AppData\Roaming\drivers\downld\326244.EXE --> Eliminado Bagle
C:\Users\administrateur1\AppData\Roaming\drivers\downld\502978.EXE --> Eliminado Bagle.dldr
C:\Users\administrateur1\AppData\Roaming\m\FLEC006.EXE --> Eliminado Bagle.dldr
C:\Users\Les parents\AppData\Roaming\drivers\SROSA.SYS --> Eliminado Bagle(rootkit)
C:\Users\Les parents\AppData\Roaming\drivers\SROSA2.SYS --> Eliminado Bagle(rootkit)
C:\Users\Les parents\AppData\Roaming\drivers\WINUPGRO.EXE --> Eliminado Bagle.dldr
C:\Users\Les parents\AppData\Roaming\drivers\downld\433994.EXE --> Eliminado Bagle
C:\Users\Les parents\AppData\Roaming\drivers\downld\526238.EXE --> Eliminado Bagle.dldr
C:\Users\Les parents\AppData\Roaming\m\FLEC006.EXE --> Eliminado Bagle.dldr
C:\Users\test\AppData\Roaming\drivers\SROSA.SYS --> Eliminado Bagle(rootkit)
C:\Users\test\AppData\Roaming\drivers\WINUPGRO.EXE.VIR --> Eliminado Bagle.dldr
C:\Users\test\AppData\Roaming\drivers\downld\220008.EXE --> Eliminado Bagle.dldr
C:\Users\test\AppData\Roaming\m\FLEC006.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 26803
Nº Total de Ficheros: 200791
Nº de Ficheros Analizados: 21116
Nº de Ficheros Infectados: 28
Nº de Ficheros Limpiados: 28 

[zaede]

Bonjour fredodu, suis les instructions etne fait rien d'autre en suppression etc...

refait un scan avec combofix

Supprime C:\InfoSat.txt <== important


Refait un nouveau scan avec elibagla
POste le rapport qui se trouve ici C:\InfoSat.txt 

[fredodu]

Voici.

Cette fois, j'ai pu lancer Combo fix et Elib depuis mon compte admin; Combo m'a mis un message d'erreur au début mais s'est déroulé après

Voici le log d'elibagla!
Que fais-je maintenant?
Fredo

Sun Jan 11 19:18:17 2009
EliBagle v12.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Enero del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\Drivers"

Sun Jan 11 19:18:45 2009
EliBagle v12.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Enero del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 26804
Nº Total de Ficheros: 200674
Nº de Ficheros Analizados: 20973
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0 

[zaede]

POste le rapport de combofix

Remet ton antivirus en service et fait ensuite une analyse complète du PC