Posez votre question Signaler

MDELK.EXE impossible à supprimer [Résolu]

dupont - Dernière réponse le 16 mars 2008 à 21:13
Slt à tous, le pb est déja posé : impossible de dégager ce foutu fichier infecté par BAGLE !!!
Ni le scan online ni ELIBAGLA...
Dois-je formater mon foutu PC ?
Merci de lire ce message.
Lire la suite 
Réponse
+1
moins plus
Bonsoir


• Télécharge ELIBAGLA en bas de cette page < http://www.zonavirus.com/datos/descargas/95/elibagla.asp >
• Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place le sur le bureau.
• Lance-le, de préférence en mode sans échec si tu en as la possibilité (si tu y a accès), en mode normal dans le cas contraire.
• Double-clique dessus pour l'ouvrir.
• Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\
• Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
• Clique sur le bouton Explorar pour lancer l'analyse.
Poste le rapport ELIBAGLA stp.
Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt qui se trouve dans Poste de travail > Disque C:\



Merci
Al
Ajouter un commentaire
Réponse
+0
moins plus
Quand je lance ELIBAGLA, il y'a ce message bizarre :

Por favor,envienos una muestra del fichero C:\Muestras\FLEC006.EXE.Mustra EliBagle v11.13 a "virus@satinfo.es"

C'est quoi encore ça ?
Ajouter un commentaire
Réponse
+0
moins plus
tu es infecté par bagle mon ptit .... souvent c'est du a un téléchargement de crack.... donc premiere chose a faire suprimer le crac et desisntaller le programme craké. et supprimer le repertoire dinstallation c (ou d)/program files/xxxxxx.

Il faut savoir que des que tu tenteras de le suprimer il se remettra .... (via internet ou dautres exe qui sont infectés)


Télécharge. F-Secure Blacklight
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

elibagla cf post de ci dessus

et surtout combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
attention apres avoir cluqer sur le lien choisir "enregistrer" le palcer ds le bureau et renomer l'exe en ce ke tu veux comme antibagle sinon mdelk va le bloker et il sera inutilisable ==> application WIn 32 non valide


une fois fait


tu debranches internet !!!!!!!! sinon le virus va revenir par internet


tu utilises elibagla d'abord puis combo fix et enfin f secure back light .

une fois terminé il faut purger les restauration systeme démarrer/panneau de config/systeme/restauration systeme/ et apres séléctionne desactivez la rstauration ca va chargé une fois le chargement terminé (30 sec environ) tu desactive loption.


en theorie c'est terminé sinon si t'as besoin d'aide reviens ici .


Saches que c'est un virus tres coriace, je l'ai eu aussi , mais saches une chose le télécahrgement de crack est interdit apr al loi.
papimarcel- 12 mars 2008 à 19:31
cé normal cé éspagnol il vonbt te dire ke ya bagle et de je ne sé pu koi para completar la limpieza.... cé tout a fait normal.
Répondre
Ajouter un commentaire
Réponse
+4
moins plus
OK

Rien de bizarre .
Tout simplement, le concepteur du programme a besoin de le mettre à jour .
Pour cela, il a besoin de cas vécu où son programme voit un exemple qui lui est inconnu.
Il faut donc lui envoyer ce fichier FLEC006.EXE.Mustra EliBagle v11.13
==> par e-Mail et en pièce jointe à cette adresse: virus@satinfo.es
Dans les 24 heures, son programme est adapté à cette infection et tu reçois la dernière version ELIBAGLA mise à jour.

Merci à toi au nom de la recherche.


Donc, j'attends le rapport Elibagla.
Note : Lance-le 3 fois de suite.
Et poste le rapport final.


Ensuite Télécharge ComboFix.exe (par sUBs) sur ton Bureau comme ceci strictement :
Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
Puis choisis "Enregistrer sous .." ==> vers le 'bureau"
==> Attention : renomme-le sous le nom Antibagle (très important).
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard.
Puis clic sur [Enregistrer]
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 (ou Yes) puis [Enter] .
Accepter les alertes éventuelles.
Laisse se dérouler le scan.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau.
Note: ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
Tu copies et colles ce rapport sur le forum


Bonne chance
Al.

lejayce- 16 mars 2008 à 17:51
Je crois que je me trouve dans le même cas que décrit ici. J'ai déjà envoyé le rapport à virus@satinfo.es, je te le fais suivra également ici :


Sun Mar 16 17:23:00 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.15
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.15
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Mar 16 17:28:25 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
C:\Recycled\DC1.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 2120
Nº Total de Ficheros: 25148
Nº de Ficheros Analizados: 7018
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Sun Mar 16 17:37:15 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.15
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.15
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Mar 16 17:37:19 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 2121
Nº Total de Ficheros: 25201
Nº de Ficheros Analizados: 7017
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sun Mar 16 17:39:29 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 2121
Nº Total de Ficheros: 25202
Nº de Ficheros Analizados: 7017
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sun Mar 16 17:39:54 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 2121
Nº Total de Ficheros: 25202
Nº de Ficheros Analizados: 7017
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sun Mar 16 17:47:02 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 2121
Nº Total de Ficheros: 25207
Nº de Ficheros Analizados: 7018
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1




Je vais lancer combofix et je vous tiendrai au courant si ça fonctionne également pour moi
Répondre
Ajouter un commentaire
Réponse
+1
moins plus
Allo dupont

Je voudrais que tu poursuives ce topic avec moi svp.

Merci à papimarcel, mais j'ai des choses à vérifier.

Al.
dupont- 12 mars 2008 à 19:46
Ok afideg, mais ça va être un peu long...

Merci de ton aide !
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
J'ai déja combofix, je vais telecharger black light.

Une question stp mon ami :

mdelk.exe est-il un fichier suspect ? En éliminant BAGLE disparaitra-t-il lui aussi ?


Merci papimarcel !
Ajouter un commentaire
Réponse
+0
moins plus
papimarcel- 12 mars 2008 à 19:50
euh mdelk n'est pas simplement un fichier suspect c'est un ver très très chiant..... (si tas téléchargé un crack fé co si dessus) . Saches que si t'as mdelk, wintems n'est pas bien loin fait ctrl alt supr puis aplication tu verras wintems.exe..... et ya srosa.sys.... fin il n'est pas seul

je te conseil d'eviter au maximum de redémarrer ton PC , sinon ton antivirus (si ten as un , je lespere) risque d'être désactivé par mdelk.exe


donc télécharges bien combofix elibagla et fsecure backlight
Répondre
dupont- 12 mars 2008 à 20:01
mdelk n'est pas simplement un fichier suspect c'est un ver très très chiant..... (si tas téléchargé un crack fé co si dessus) . Saches que si t'as mdelk, wintems n'est pas bien loin fait ctrl alt supr puis aplication tu verras <gras>wintems.exe</gras>..... et ya srosa.sys.... fin il n'est pas seul

je te conseil d'eviter au maximum de redémarrer ton PC , sinon ton antivirus (si ten as un , je lespere) risque d'être désactivé par mdelk.exe

je l'ai ce foutu wintems, et impossible de le désactiver !
Répondre
Ajouter un commentaire
Réponse
+2
moins plus
Allo dupont

Je voudrais que tu poursuives ce topic avec moi svp.
Tu fais ce que je demande au post # 6
Et laisse-moi tranquiile avec BlackLight ! SVP

Tu supprimes ta vieille version de ComboFix
Et tu fais comme je l'ai écrit.
Merci
Ajouter un commentaire
Réponse
+2
moins plus
Nom de dieu Dupont

Je vais m'en occuper
Ou je fous le camp !
Ajouter un commentaire
Réponse
+1
moins plus
Je passe à table
Je reviens d'ici 20 minutes
Merci
Al
Ajouter un commentaire
Réponse
+2
moins plus
Voilà Dupont, je suis de retour.

Et toujours AUCUN des rapports demandés en vue !


Supprime ta version actuelle de HijackThis.
Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2
1°- Clic sur ce lien < http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download > avec un installeur.
2°- En descendant dans la page, choisis de cliquer sur « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png
Puis sur [Enregistrer] ==> choisis sur le bureau
3°- ==> ATTENTION !! Il faut maintenant le renommer!
Tu le nommes (par exemple Joubert.exe) à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard.
Regarde cette capture écran pour t'aider ==> Tu effaces “HJTInstall.exe” et le remplaces par exemple par “Joubert.exe”.
4°- Termine par [Enregistrer]
Tu dois voir une nouvelle icône « Joubert.exe » sur le bureau.
5°- Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse.
Tutoriel : < [ http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ] >

Poste le rapport obtenu, SVP
Merci
Al.
Ajouter un commentaire
Réponse
+1
moins plus
Suite et fin.

Je me doutais bien que "dupont" et "papimarcel" étaient deux copains qui voulaient s'amuser un peu.
C'est raté!
Vous avez bien chanté; et bien chantez maintenant!

Al.
dupont- 12 mars 2008 à 23:32
AFIDEG, ne te fâches pas stp, je suis un peu méticuleux donc lent. Il n'y a aucun deal entre PAPIMARCEL et moi.
Je te remercie bcp pour ton intérêt à mon problème, tu es très généreux mon ami.

Très bonne nouvelle : je l'ai eu ce BAGLE !!!


En suivant scrupuleusement tes instructions, et qui sont comme suit :

1/ J'ai téléchargé Combo-Fix mais en l'enregistrant sur le bureau je l'ai appelé AntiBagle. J'ai téléchargé aussi les dernières versions de Elibagla et de BlackLight.
2/J'ai exécuté d'abord Combo-Fix. Lors du reboot, voyant le PC bloqué, j'ai éteint par le bouton OFF puis j'ai ré-allumé.
3/J'ai exécuté Elibagla 3 fois de suite (la première fois il a détecté le fichier HLDRRR.EXE, puis rien par la suite).
4/Enfin j'ai exécuté BlackLight.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Après ce succés inespéré (grâce à l'aide précieuse de nos amis AFIDEG et PAPIMARCEL du forum CCM), j'ai installé ceci :

1/ Anti-virus AVIRA ANTIVIR.
2/Pare-feu ZoneAlarm.
3/Anti-spyware SpyBot + Ad-Aware 2007.
4/Nettoyeur CCleaner.

Auparavant, j'avais Trojan-Remover 6.6.8 et New Utilities 2006 que j'ai gardé.

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Voici un rapport que je vais poster ici :

//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vkquwexg

*******************

Script file located at: \??\C:\antiBagle\ComboDel.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\system32\drivers\hldrrr.exe|C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\hldrrr.exe.vir completed successfully.
File move operation C:\WINDOWS\system32\drivers\srosa.sys|C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\srosa.sys.vir completed successfully.
File move operation C:\WINDOWS\system32\mdelk.exe|C:\QooBox\Quarantine\C\WINDOWS\system32\mdelk.exe.vir completed successfully.
File move operation C:\WINDOWS\system32\wintems.exe|C:\QooBox\Quarantine\C\WINDOWS\system32\wintems.exe.vir completed successfully.

Completed script processing.

*******************

Finished! Terminate.


---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Combo-Fix a généré un dossier dans C appelé QooBox où il y'a un sous-dossier appelé Quarantine (quarantaine) que j'ai scanné avec Avira AntiVir mis à jour.J'ai supprimé tous les virus s'y trouvant dont voici la liste sur le rapport :

file zipped: C:\WINDOWS\system32\drivers\srosa.sys -> catchme.zip -> srosa.sys ( 93566 bytes )
file "C:\WINDOWS\system32\drivers\srosa.sys" replaced successfully
file zipped: C:\WINDOWS\system32\wintems.exe -> catchme.zip -> wintems.exe ( 71684 bytes )
PE file "C:\WINDOWS\system32\wintems.exe" killed successfully
file zipped: C:\WINDOWS\system32\mdelk.exe -> catchme.zip -> mdelk.exe ( 71684 bytes )
PE file "C:\WINDOWS\system32\mdelk.exe" killed successfully
file zipped: C:\WINDOWS\system32\drivers\hldrrr.exe -> catchme.zip -> hldrrr.exe ( 700416 bytes )
PE file "C:\WINDOWS\system32\drivers\hldrrr.exe" killed successfully


----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Voici en outre le rapport de ELIBAGLA :



Wed Mar 12 02:09:40 2008
EliBagle v11.13 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acciَn Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v11.13
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\DELL\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\DELL\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle

Wed Mar 12 02:35:12 2008
EliBagle v11.13 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acciَn Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v11.13
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\DELL\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Mar 12 18:48:52 2008
EliBagle v11.13 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acciَn Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v11.13
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\DELL\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\DELL\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle

Wed Mar 12 19:22:50 2008
EliBagle v11.13 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acciَn Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v11.13
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\DELL\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Mar 12 21:21:41 2008
EliBagle v11.13 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acciَn Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v11.13
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\DELL\APPLICATION DATA\M\FLEC006.EXE --> Eliminado Bagle

Wed Mar 12 21:22:21 2008
EliBagle v11.13 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploraciَn):
Explorando Unidad C:\
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\14687828.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\14695406.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\14758031.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\14763968.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\15322156.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\29096015.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\29476796.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\29558687.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\43985875.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\44085531.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\44323750.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\102741984.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\117553140.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\117583390.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\132251828.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\14672500.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\146885421.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\14721046.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\14730531.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\14751718.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\14781125.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\14796453.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\150625093.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\15104203.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\165183218.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\179789578.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\179806750.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\29334656.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\29409890.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\29421343.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\36704687.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\44085062.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\44093953.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\58890562.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\73480187.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\73490921.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\78953.EXE.VIR --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-57989841-1715567821-682003330-1003\Dc121\Quarantine\C\WINDOWS\system32\drivers\down\88098968.EXE.VIR --> Eliminado Bagle

N؛ Total de Directorios: 4112
N؛ Total de Ficheros: 51849
N؛ de Ficheros Analizados: 7447
N؛ de Ficheros Infectados: 38
N؛ de Ficheros Limpiados: 38

Wed Mar 12 21:29:04 2008
EliBagle v11.13 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acciَn Directa):
Eliminada Carpeta "%AppData%\M"

Wed Mar 12 21:29:07 2008
EliBagle v11.13 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploraciَn):
Explorando Unidad C:\

N؛ Total de Directorios: 4111
N؛ Total de Ficheros: 51815
N؛ de Ficheros Analizados: 7409
N؛ de Ficheros Infectados: 0
N؛ de Ficheros Limpiados: 0

Wed Mar 12 21:29:43 2008
EliBagle v11.13 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploraciَn):
Explorando Unidad C:\

N؛ Total de Directorios: 4111
N؛ Total de Ficheros: 51815
N؛ de Ficheros Analizados: 7409
N؛ de Ficheros Infectados: 0
N؛ de Ficheros Limpiados: 0

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Répondre
Ajouter un commentaire
Réponse
+3
moins plus
Re

Citation: « Combo-Fix a généré un dossier dans C appelé QooBox où il y'a un sous-dossier appelé Quarantine (quarantaine) que j'ai scanné avec Avira AntiVir mis à jour.J'ai supprimé tous les virus s'y trouvant »
==> Ridicule ==> on ne passe pas son temps précieux à scanner le Qoobox de ComboFix, là où les éléments de l'infection sont devenus inactifs !
Surtout quand le helper attend des résultats d'analyses qu'il avait demandées ==> manque total de respect !


1°- Je ne veux plus entendre parler de BlackLight (dans ce cas-ci) !

2°- Qui t'a demandé d'utiliser The Avenger ?
De quand date ce rapport?
Donne-moi le script que tu as utilisé pour The Avenger, SVP.

3°- Qui t'a demandé de télécharger (avant toute désinfection !!):
- Anti-virus AVIRA ANTIVIR.
- Pare-feu ZoneAlarm.
- Anti-spyware SpyBot + Ad-Aware 2007.
- Nettoyeur CCleaner.

4°- Je ne vois pas le rapport complet de ComboFix.

5°- Je ne vois pas le rapport d'analyse complète par HijackThis.

Sur quel autre forum es-tu ?
Ton PC n'est pas désinfecté.


RAPPEL: Il faut donc lui envoyer ce fichier FLEC006.EXE.Mustra EliBagle v11.13
==> par e-Mail et en pièce jointe à cette adresse: virus@satinfo.es
Dans les 24 heures, son programme est adapté à cette infection et tu reçois la dernière version ELIBAGLA mise à jour.


Al.
Ajouter un commentaire
Réponse
+1
moins plus
FLEC006.EXE.Mustra EliBagle v11.13 est un virus car en le scannant avec Avira il l'a détecté tel quel, alors je l'ai supprimé. Comment veux-tu que j'envoie un virus par e-mail ? t'es normal toi ?

Je vais t'envoyer le rapport d'HijackThis, ok ?

Mon pseudo est devenu dupont08 car je me suis inscrit à CCM.
Ajouter un commentaire
Réponse
+2
moins plus
Re,

Citation « Comment veux-tu que j'envoie un virus par e-mail ? t'es normal toi ? »

Réponse: Oui, je suis d'autant plus normal, que le programme lui-même t'invite à envoyer ce fichier.
Mais tu dois être plus malin que tous ceux qui acceptent d'aider la recherche anti-malwares en envoyant ces fichiers chaque jour et sans souci.
Tous les lecteurs apprécieront ton attitude.

Bienvenue dans le club des cons et des anormaux de CCM.
Bonsoir cher collègue .


Rappel entre collègues :
2°- Qui t'a demandé d'utiliser The Avenger ?
De quand date ce rapport?
Donne-moi le script que tu as utilisé pour The Avenger, SVP.
4°- Je ne vois pas le rapport complet de ComboFix.
5°- Je ne vois pas le rapport d'analyse complète par HijackThis.

==> mais sans doute es-tu gêné ou incapable de produire ces rapports ?

Al.
Ajouter un commentaire
Réponse
+1
moins plus
Je sais que tu es tjs là, sinon demain tu liras les rapports.
Je ne vois pas pourquoi t'es ennervé comme ça (Bienvenue dans le club des cons et des anormaux de CCM + sans doute es-tu gêné ou incapable de produire ces rapports ?). Je ne joue pas à ce jeu là, tu m'excuses mon ami.

Voici le rapport de HijackThis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:13, on 2008-03-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
C:\Program Files\Winbond\WLAN\WBSECSVC.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ClocX\ClocX.exe
C:\Program Files\Athan\Athan.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Winbond\WLAN\wwu.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Etudes\Microsoft Encarta 2008 - Etudes DVD\EDICT.EXE
C:\Program Files\FastNote\kfn.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\DELL\Bureau\Sécurité Minimale Pour Un PC\Logiciels Supplémentaires\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ClocX] C:\Program Files\ClocX\ClocX.exe
O4 - HKLM\..\Run: [Athan] C:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [wwu] C:\Program Files\Winbond\WLAN\wwu.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [L08FXLRD_48604468] "C:\Program Files\Microsoft Etudes\Microsoft Encarta 2008 - Etudes DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [mule_st_key] C:\Documents and Settings\DELL\Application Data\m\flec006.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Fast Note.lnk = C:\Program Files\FastNote\kfn.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AC1E2CA-5144-438B-8664-B7506658EEFA}: NameServer = 208.67.222.222 193.55.10.102
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - r:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - r:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - r:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - r:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: wbsecsvc - Winbond - C:\Program Files\Winbond\WLAN\WBSECSVC.EXE
O24 - Desktop Component 0: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2
Ajouter un commentaire
Réponse
+1
moins plus
Peux-tu me dire si BAGLE a disparu ?
Ajouter un commentaire
Réponse
+5
moins plus
Salut,

dis donc dupont, tu as une sacré capacité de truander la vérité.

Tu te permet d'écrire que tu as scrupuleusement exécuté les instructions d'afideg alors que :

- comme il le dit, tu as utilisé un script the avenger qui ne t'a pas été demandé. En plus, tu es sur un script pas banal.

- tu as utilisé une option de combofix (un script) qui ne t'a pas été prescrite. En plus, ce script utilise des fonctionalités qui demandent certaines connaissances.

Et, en lisant bien, tu avais déjà combofix. pas renommé ? pas attaqué par bagle ? très très bizarre !!!!!!

Par hasard combofix ?



Pendant qu'on y est, on va régler son compte au bouffon, papimarcel.

Ce cher papimarcel qui connait très bien combofix, qui connait très bien elibagla, et qui, quand on parle de mdelk, vient la bouche en coeur nous réciter la liste des fichiers caractéristiques de l'infection bagle actuelle (sans préciser justement que bagle c'est ça). Très rigolo !
dupont08 17Messages postés mercredi 12 mars 2008Date d'inscription 13 mars 2008 Dernière intervention - 13 mars 2008 à 01:49
Ecoutes Lyonnais92, faut pas trop me secouer comme ça parceque je suis fatigué. Depuis le 06 mars je n'arrête pas de chercher comment neutraliser ce virus, et aujourd'hui grâce à notre ami Afideg j'ai pu le faire.
Quel interet aurai-je à faire ces scripts alors que mon but était de me débarasser de ce virus.

Une precision à vous donner : en exécutant Combo-Fix ( ou plutôt AntiBagle ), un point de restauration a été crée d'abord, puis il a commencé à supprimer les fichiers suspects. En revenant à C, je trouve 3 nouveaux répertoires :

-- AntiBagle.
-- Avenger.
-- QooBox.

C'est la 1ère fois que j'ai fait cette opération. Je ne vois pourquoi tous ces soupçons injustifiés.
ça me dépasse ces trucs-là monsieur.

Et puis, j'ai renommé ComboFix en AntiBagle. Qu'est-ce qui est bizarre ?

Ce qui compte pour moi ( et je suis très reconnaissant pour votre aide ), c'est de savoir si Bagle a disparu en lisant ces rapports ?

Je vous remercie.
Répondre
Ajouter un commentaire
Réponse
+1
moins plus
Pour Avenger, je n'ai aucune idée d'ou ça vient. C'est en utilisant Combo-Fix que je l'ai vu. Je n'ai installé aucun truc répondant à ce nom...

Je te re_poste le rapport trouvé dans C appelé simplement Avenger.txt :

//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vkquwexg

*******************

Script file located at: \??\C:\antiBagle\ComboDel.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\system32\drivers\hldrrr.exe|C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\hldrrr.exe.vir completed successfully.
File move operation C:\WINDOWS\system32\drivers\srosa.sys|C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\srosa.sys.vir completed successfully.
File move operation C:\WINDOWS\system32\mdelk.exe|C:\QooBox\Quarantine\C\WINDOWS\system32\mdelk.exe.vir completed successfully.
File move operation C:\WINDOWS\system32\wintems.exe|C:\QooBox\Quarantine\C\WINDOWS\system32\wintems.exe.vir completed successfully.

Completed script processing.

*******************

Finished! Terminate.
Ajouter un commentaire
Réponse
+1
moins plus
Re,

Pour Avenger, je n'ai aucune idée d'ou ça vient.

Ca, c'est l'Immaculée Conception version Internet !!

Ajouter un commentaire
Ce document intitulé «  MDELK.EXE impossible à supprimer  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.