Infection bagle installation anti-virus imposFermé

Question

Bonjour,
Suite à ce que je suppose une infection bagle j'ai perdu mon anti-virus, ma connexion wifi et je ne peux plus gérer le controle des comptes utilisateurs.
J'ai cherché, trouvé des réponses mais n'ai pu résoudre totalement le problème. La wifi est revenue, mais AVG ne veut pas s'installer "Echec de l'opération fichier avgmfx86.sys, lancement du service" (test avec d'autres anti-virus résultat identique). Je ne peux toujours pas utilier le cotrole des comptes utilisateurs si ce n'est avec TweakUA mais une fois sur deux re-démarrages, les options internet me donnent également du soucis mais pas majeurs.
J'ai désinstallé McAfee Security livré avec cet ordi tout neuf
J'ai utiliser Combofix Elibalgla (problème de droits sur des dossiers windows) Vcleaner CCleaner TuneUp Utilities

Voici le rapports HijackThis :Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:05, on 22/08/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Toshiba\ConfigFree\NDSTray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Toshiba\Power Saver\TPwrMain.exe
C:\Program Files\Toshiba\SmoothView\SmoothView.exe
C:\Program Files\Toshiba\FlashCards\TCrdMain.exe
C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Toshiba\ConfigFree\CFSwMgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe -startup
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [Desktop SMS] C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe /auto
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User 'Default user')
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21 (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Real-time Scanner (McShield) - Unknown owner - C:\Program Files\McAfee\VirusScan\McShield.exe (file missing)
O23 - Service: McAfee SystemGuards (McSysmon) - Unknown owner - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe (file missing)
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Flash Memory Card Driver\o2flash.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: TOSHIBA SMART Log Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

afideg · Answer

Bonsoir, 1°- •- J’ai besoin de savoir quels sont tes répertoires attribués aux clés USB et disques durs éventuels. Télécharge l'outil Flash_Disinfector de sUBs: http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe Enregistre Flash_Disinfector.exe sur ton bureau. Double clique sur Flash_Disinfector.exe pour l'exécuter. Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra : Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés. Puis clic sur Ok Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!] Appuie ensuite sur OK, pour faire réapparaître le bureau. 2°- Télécharge et installe Malwarebyte's Anti-Malware http://www.malwarebytes.org/mbam/program/mbam-setup.exe A la fin de l'installation, veille à ce que l'option "Mettre à jour Malwarebytes Anti-Malware" soit cochée. >>> clique sur "Terminer" Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau. (Peut-être faut-il faire "Clic-droit" dessus, puis "Exécuter en tant qu'administrateur") Au premier lancement, une fenêtre t'annonce que la version est gratuite >>> clique sur ok Laisse les Mises à jour se télécharger *** Referme le programme *** Redémarre en "Mode sans échec" Regarde ici pour exécuter le mode sans échec, sans stresser : < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > Il faut laisser aller le PC à son rythme, pour que s'installe le bureau; après quoi, tu réutilises ta souris. Quand tu as le curseur qui clignote, tu peux avoir un temps d'ouverture du mode sans échec qui va jusqu'à 15 minutes. Il faut donc être patient. Choisir sa session habituelle, (pas le compte "Administrateur" ou une autre). Lance Malwarebyte's Anti-Malware (Peut-être faut-il faire "Clic-droit" dessus, puis "Exécuter en tant qu'administrateur") Onglet "Recherche" >>> coche « Exécuter un examen complet » >>> « Rechercher » Sélectionne ton disque dur >>> clic sur « Lancer l'examen » A la fin du scan >>> clique sur « Afficher les résultats » >>> « Enregistrer le Rapport » Suppression des éléments détectés >>>> clique sur « Supprimer la sélection » S'il t'est demandé de redémarrer >>> clique sur "Yes" Un rapport de scan s'ouvre, poste le rapport. 3°)- Fais ensuite un ScanOnline chez Bitdefender : < http://www.bitdefender.fr/bd/site/page.php > ou < https://www.bitdefender.fr/ > ( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX) * En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE" * Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence ) Accepter et installer le contrôle des ActivesX * La fenêtre change encore, clique sur "Click here to scan" * Les signatures se chargent, etc. •- Sauvegarde le rapport comme ceci: Clic sur "Enregistrer sous..." > choisis « bureau » ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier HTML" (*.html) • > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum. Tuto Morgane < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm > Merci à+.. Al.

Utilisateur anonyme · Answer

Salut,

pour suivre merci 

PS : Salut Al .

afideg · Answer

Salut Chiquitine29

Merci de suivre ce topic intéressant.
J'espère que niule aura possibilité de réaliser la procédure entièrement. 

niule, ton nom de USER est-il bien "ficelle" ?

Je poursuivrai avec CFSript (le passe-partout d'abord) suivi de KasOnLine.

Maintenant je vais dormir.
À demain matin.

Amicalement
Al.

afideg · Answer

Bonjour niule et Chiquitine29,

niule, il faudrait s'y mettre sans tarder.

1°- Tu nous annonces "Infection Beagle".
Tu ajoutes que tu as déjà beaucoup entrepris (à tort et à travers -comme nous le faisons nous-même parfois- devant une telle infection) avec au final la paralysie de ton PC.
Bien.

2°- Quoi, te fait dire qu'à la source des soucis ton PC souffrait de Beagle ?
Je n'ai reçu aucun rapport de tes manipulations antérieures qui pourrait nous éclairer; sauf un 6ème log ComboFix:
---> ComboFix 08-08-19.06 - ficelle 2008-08-22 20:27:11.6 - NTFSx86 
dans lequel on voit effectivement que tu as utilisé ELIBAGLA :
---> C:\InfoSat.txt 
avec présence d'un élément de l'infection Beagle:
---> C:\Windows\system32\drivers\downld 
As-tu le dernier log ELIBAGLA ?

3°- Dans ce cas, as-tu pris la peine de renvoyer les fichiers comme il est demandé par ce type de message:
Por favor, envienos una muestra del fichero 
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.21 
a "virus@satinfo.es". Gracias 
Cela permet de mettre à jour l'outil Muestra EliBagle pour tuer la dernière version de l'infection.
Utopique ? ==> c'est toujours mieux de faire ce qui est demandé, dans ce cas-là.

4°- Il reste des traces de Mcafee:
--->O23 - Service: McAfee Real-time Scanner (McShield) - Unknown owner - C:\Program Files\McAfee\VirusScan\McShield.exe (file missing)       => Network Associates®McAfee VirusScan  
--->O23 - Service: McAfee SystemGuards (McSysmon) - Unknown owner - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe (file missing)       
Ne sachant pas quelle était ta version, voici quelques méthodes:
Desinstaller Mcafee antivirus 8
http://www.commentcamarche.net/forum/affich 7613509 comment desinstaller mcafee antivirus 8#1
Désinstaller Mcafee internet security v6
http://www.commentcamarche.net/forum/affich 1992635 desinstallation mcafee impossible
Desinstaller McAfee sous vista (par mon ami Nardino de PCA)
http://www.commentcamarche.net/forum/affich 4305183 desinstaller mcafee sous vista#2

5°- Actuellement, quel est ton antivirus ACTIF, et quel est ton pare-feu ACTIF que je ne trouve pas dans les "Applications démarrées automatiquement par le registre = O4" 
En O18, je devine Grisoft AVG Internet Security Suite 
---> O18- Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
Mais est-il activé ? 
As-tu une licence ?

6°- As-tu supprimé tous les cracks que tu as téléchargés ?
Il faut le faire.

7°- Comme Beagle affectionne particulièrement les failles de sécurité de ton PC, il faut mettre à jour:

a)- C:\Program Files\Java\jre1.6.0_03; comme ceci:
Dernière version Java Runtime Environment  disponible ici : 
https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Clic sur [Download Latest Version 15.24MB] au-dessus, à droite. 
Ensuite, vas dans "Panneau de configuration" > "Ajout/suppr.de programmes", et supprime tes anciennes versions.

b)- C:\Program Files\Adobe\Reader 8.0\Reader
Il faut faire la mise à jour version 9  https://get2.adobe.com/reader/otherversions/      
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.
- Décocher éventuellement: "Téléchargez également :Adobe Photoshop® Album Édition" 
- Dans "Ajout/Suppression des programmes" tu supprimes toutes les autres versions.
 


J'ai lu que tu savais programmer.
Merci
Al.

afideg · Answer

Bonjour niule,

OK
Bienvenue de Madagascar.

On s'est croisé sur le topic.
Pour éviter la distraction, peux-tu lancer tes messages dans l'ordre chronologique de numérotation des postes, SVP ?
Merci.
Al

afideg · Answer

(suite) Le ScanOnline chez Bitdefender n'est pas encore terminé ? Bizarre que tu nous écrives ceci: « Rapport ELIBAGLA ==> Rien juste le nombre de fichiers » Puisqu'il nous faut avancer, et quand ScanOnlineBitdefender aura donné son rapport: •- Supprime tout ce qui a rapport avec ta version actuelle ELIBAGLA. •- Désactive l'UAC en suivant ce guide: < https://www.generation-nt.com/desactiver-supprimer-uac-user-account-control-windows-vista-astuce-24678-1.html > C'est-à-dire : (Vas dans "démarrer" puis "panneau de configuration". - Double Clique sur l'icône "Comptes d'utilisateurs" - Clique ensuite sur désactiver et valide). Attention : Toujours redémarrer le PC pour que ce soit effectif. •- Ensuite: 1°- ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). 2°- Désactive ta restauration système en suivant ce guide https://forum.malekal.com/viewtopic.php?f=59&t=5385 A)- Ensuite, télécharger Beagled de sUBs : http://download.bleepingcomputer.com/sUBs/Beagled.exe • Double-cliquer sur Beagled • Laisser le scan s'opérer. • Attendre que le scan soit terminé, cela peut être long. Si tu vois le rapport, poste-le. B)- Télécharge ELIBAGLA (de MSC HotlineSat) http://www.zonavirus.com/datos/descargas/95/elibagla.asp Clique sur le bouton [Descargar ELIBAGLA 11.66] (tout en bas de la page, au dessus de "Tamaño Descargados Licencia Web") Très important: enregistrer le fichier Elibagla.exe téléchargé, à la racine du disque dur AVANT de le renommer. Donc, il faut l'enregistrer en C:\ tel quel. Puis ouvrir C:\ > clic-droit > renommer le fichier ELIBAGLA.AIBH.EXE en srosa.exe •- Ensuite, dans "Démarrer" > "Exécuter" (ou Touche Windows + R), taper cmd, valider par [Ctrl + Shift + Entrée]. Dans l'invite de commande, colle ceci C:\srosa.exe L'outil va s'éxécuter très rapidement. •- Redémarre le pc maintenant, c'est important. Avant l'apparition du bureau, Elibagla va se relancer et neutraliser le reste de l'infection. Dès que le menu principal d'Elibagla apparaîtra : - Laisser la case "Eliminar ficheros automaticamente" cochée. - Clic sur "Explorar" pour lancer le scan complet du pc. Une fois le scan terminé, refermer l'outil pour permettre au bureau de réapparaître. Poste le rapport de fin d'analyse. C)- Termine avec ce "Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr sous "Internet Explorer". Branche ton Disque Externe (clé USB) éventuellement - Clique sur "Démarrer Online-Scanner" (en bas à droite de la page) . - Clique maintenant sur "J'accepte". - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. - Patiente pendant l'installation des "Mises à jour". Clic sur « Paramètres d'analyse » Coche la case "Étendue" >> Ok - Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ». - Sauvegarde puis colle le rapport généré en fin d'analyse. http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 > Tuto ici si problème: < https://forum.pcastuces.com/sujet.asp?f=25&s=37641 > (par Morgane & nico_dodo) Je ne suis pas constamment devant le PC. Merci Al.

niule · Answer

Ne crois pas une seconde que j'ai laissé tomber..... Mais entre les problèmes de connexion, les obligations familiales et professionnelles mon samedi a été bien chargé.
Ta question bagle ???? car tous les symptomes étaient la ... simplement et que j'ai trouvé une clé legacy_srosa (tjs présente d'ailleurs ....)
Ton point A : ne mache pas avec vista
Ton point B :  pas réussi a obtenir exactement le résultat souhaité (EliBagle ne se lance pas avant l'apparition du bureau)  et quant à ton 3° du premier message
"- Dans ce cas, as-tu pris la peine de renvoyer les fichiers comme il est demandé par ce type de message: 
Por favor, envienos una muestra del fichero 
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.21 
a "virus@satinfo.es". Gracias 
Cela permet de mettre à jour l'outil Muestra EliBagle pour tuer la dernière version de l'infection. 
Utopique ? ==> c'est toujours mieux de faire ce qui est demandé, dans ce cas-là. " Je n'avais rien à envoyer !!!
J'ai désinstallé mcaffe hier et ai tenté d'installé avg sans succès (donc pas de protection pour l'instant)
Je ne peux supprimer le controle des droits des utilisateurs
Le scan online kaspersky est en cours, celui de bitdefender de se matin s'est planté (cf connexion)
J'aujouterai le rapport kaspersky dans  une heure à peu près (stat perso).
A plus

afideg · Answer

Re, Bonjour Merci A)- Avec Beagled de sUBs : http://download.bleepingcomputer.com/sUBs/Beagled.exe • Double-cliquer sur Beagled ==> si tu fais clic-droit sur "Beagled" et choisir "Exécuter en tant qu'administrateur", ça ne démarre pas ? (• Laisser le scan s'opérer. • Attendre que le scan soit terminé, cela peut être long. Si tu vois le rapport, poste-le.) B)- Tu ne trouves pas de rapport en C:\ , genre "srosa.log" par exemple ? À cette étape : « Dans l'invite de commande, colle ceci C:\srosa.exe ==> as-tu bien cliqué sur [Enter] ? L'outil va s'éxécuter très rapidement. •- Redémarre le pc maintenant, c'est important. Avant l'apparition du bureau, Elibagla va se relancer et neutraliser le reste de l'infection. » C)- Tu me tues ... avec ça: « clé legacy_srosa (tjs présente d'ailleurs ....) » Nous allons tenter de la trouver ainsi: 1° Supprime le fichier srosa.exe = ELIBAGLA.AIBH.EXE renommé plus haut. 2°- Télécharger OAD par ce lien: < http://sosvirus.changelog.fr/OAD.exe > •-Enregistre-le sur ton bureau Pour l'utilisation sous Vista: Clique droit sur le fichier « OAD.exe » et sur « Propriétés », dans l'onglet « Compatibilité », Cadre "Niveau de privilège" il faut cocher "Exécuter ce programme en tant qu'administrateur". •- Lancer « OAD.exe » en cliquant sur < http://sosvirus.changelog.fr/OAD/1.bmp > , puis « Exécuter en tant que » ==> une page bleue s’affiche. •- Saisir la valeur recherchée ( = nom de fichier à rechercher ) : taper SROSA puis [Enter] ==> une nouvelle page bleue s’affiche. - Type de recherche : taper 6 (sélectionner l'option 6) puis valide [entrée]< http://sosvirus.changelog.fr/OAD/4.bmp > •- OAD va maintenant rechercher le fichier. Laisse-le travailler jusqu'à ce qu'il en ait terminé. Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes. Patienter. •- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé. •- Faire un copier/coller de ce rapport dans ton prochain post. •-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors de "téléchargement / utilisation". Manuel d’aide ici https://forum.pcastuces.com/default.asp Bonne chance Al.

afideg · Answer

Pas de problème.
Merci pour ces informations.

Mais « "Avec Beagled de sUBs "  on m'informe que cela ne fonctionne qu'avec xp ou 2000 »
Comment fait-on pour te contacter puisque n'étant pas inscrite, personne ici ne peut te contacter par la messagerie privée ? Et ce "connaisseur de l'ombre", que pense-t-il de ton souci ?


Dès le résultat de OAD, je suis prêt pour la suite (et j'espère la fin) avec d'abord un test, suivi du CFSript pour ComboFix (dont tu dois toujours avoir l'icône sur le bureau) .

Merci
Al.

afideg · Answer

Re,

Je vois ceci dans OAD ==> [23/08/2008 ] ---> C:\InfoSat.txt 
N'est-ce pas là le rapport de srosa.exe = ELIBAGLA.AIBH.EXE renommé ?

C'est quoi ces fichiers rapports fais ce jour ?
[23/08/2008 ] ---> C:\ComboFix.txt 
[23/08/2008 ] ---> C:\resultat.txt 
[23/08/2008 ] ---> C:\Windows\PFRO.log 

Merci

afideg · Answer

(suite) Je vais passer à table; donc voici le CFSript à lancer comme ceci après le test . Merci de ta collaboration. A)- Tu as toujours l'icône de ComboFix sur le bureau. B)- Désactive l'UAC en suivant ce guide: < https://www.generation-nt.com/desactiver-supprimer-uac-user-account-control-windows-vista-astuce-24678-1.html > C'est-à-dire : (Vas dans "démarrer" puis "panneau de configuration". - Double Clique sur l'icône "Comptes d'utilisateurs" - Clique ensuite sur désactiver et valide). Attention : Toujours redémarrer le PC pour que ce soit effectif. C)- Ensuite: 1°- ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). 2°- Désactive ta restauration système en suivant ce guide https://forum.malekal.com/viewtopic.php?f=59&t=5385 3°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant : killall:: File:: C:\WINDOWS\exefld.exe c:\windows\system32\mdelk.exe C:\WINDOWS\system32\anti_troj.exe C:\WINDOWS\SYSTEM32\BAN_LIST.TXT C:\WINDOWS\system32\german.exe C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\hldrrr.exe C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\MRT.exe C:\WINDOWS\system32 rusted.exe C:\WINDOWS\system32\drivers\hldrrr.exe c:\WINDOWS\system32\drivers\hidr.exe C:\WINDOWS\system32\drivers\SROSA.SYS c:\WINDOWS\system32\drivers\pci32.sys C:\Documents and Settings\ficelle\Application Data\m\list.oct C:\Documents and Settings\ficelle\Application Data\m\data.oct C:\Documents and Settings\ficelle\Application Data\m\srvlist.oct C:\Documents and Settings\ficelle\Application Data\m\flec006.exe c:\Documents and Settings\ficelle Application Data\hidires\m_hook.sys c:\Documents and Settings\ficelle\Application Data\hidires\hidr.exe C:\Documents and Settings\ficelle\Application Data\hidires\SROSA.sys c:\Documents and Settings\ficelle\Application Data\hidires osa.sys C:\Documents and Settings\Administrateur\Application Data\hidires\hidr.exe C:\Documents and Settings\Administrateur\Application Data\hidires\m_hook.sys C:\Windows\Prefetch\WINTEMS.EXE C:\Windows\Prefetch\MDELK.EXE C:\Windows\Prefetch\HLDRRR.EXE C:\Windows\Prefetch\FLEC006.EXE C:\Windows\Prefetch\SROSA.EXE-E6BAD8F7.pf C:\Windows\Prefetch\KEYGENPATCH.EXE-????????.pf C:\Windows\Prefetch\WINTEMS.EXE-????????.pf C:\Windows\Prefetch\MDELK.EXE-????????.pf C:\Windows\Prefetch\HLDRRR.EXE-????????.pf C:\Windows\Prefetch\FLEC006.EXE-????????.pf C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe Folder:: C:\Muestras C:\QooBox C:\Program Files\SuperCopier2 C:\Program Files\m C:\WINDOWS\exefld C:\WINDOWS\pss C:\WINDOWS\system32\drivers\down C:\WINDOWS\system32\drivers\downld C:\Documents and Settings\ficelle\Application Data\m C:\DOCUMENTS AND SETTINGS\ficelle\Application Data\m\shared c:\Documents and Settings\ficelle\Application Data\hidires C:\Documents and Settings\Administrateur\Application Data\hidires Driver:: drvsyskit srosa hldrrr hidr m_hook Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"=- "german.exe"=- "mule_st_key"=- "C:\Documents and Settings\ficelle\Application Data\m\flec006.exe"=- “C:\Documents and Settings\ficelle\Application Data\m\list.oct”=- “C:\Documents and Settings\ficelle\Application Data\m\data.oct”=- “C:\Documents and Settings\ficelle\Application Data\m\srvlist.oct”=- [-HKEY_CURRENT_USER\Software\FirstRRRun] [-HKEY_CURRENT_USER\SOFTWARE\DateTime4] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa] "start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa] "start"=- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa] [-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA] [HKEY_USERS\S-1-5-21-94552130-3600554969-758327263-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\srosa.EXE"=- [HKEY_USERS\S-1-5-21-94552130-3600554969-758327263-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\srosa.EXE"=- 4°- Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C. Ouvre le bloc-notes (programme>Accessoires >bloc-notes). Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V . Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript1.txt • Regarde ici (ce n’est qu’un exemple !) < http://img509.imageshack.us/img509/5984/screenshot332wc3.png > 5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” (Tristan.exe) sur le bureau) en faisant un “glisser/déposer” de ce fichier “ gras>CFScript1.txt ” sur le fichier “ComboFix.exe”(Tristan.exe) comme sur la capture: < http://apu.mabul.org/up/apu/2008/08/12/img-210914jjufm.gif > L'icône ComboFix.exe (Tristan.exe) change alors de "brillance" dans sa couleur. Un module s'affiche ==> clic sur "Exécuter" Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! (CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.) 6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum. Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt 7°- Arrêter puis redémarrer le PC et Réactive ta restauration système 8°- Termine avec ce "Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr sous "Internet Explorer". Branche ton Disque Externe (clé USB) éventuellement - Clique sur "Démarrer Online-Scanner" (en bas à droite de la page) . - Clique maintenant sur "J'accepte". - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. - Patiente pendant l'installation des "Mises à jour". Clic sur « Paramètres d'analyse » Coche la case "Étendue" >> Ok - Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ». - Sauvegarde puis colle le rapport généré en fin d'analyse. http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 > Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641 (par Morgane & nico_dodo) NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. Bonne chance Al

afideg · Answer

Re,

ZUT alors
Merci
J'avais pourtant posté le message suivant

Comme annoncé, peux-tu faire ce test, s'il te plaît ?

Telecharge FindB comme ceci : 
- Fais un clic-droit sur le lien   http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.exe 
==> choisis “Enregistrer sous ....” ==> choisis  “sur le bureau” 
- Ensuite:
1) Double-clic sur FindB 
2) Poste le rapport FindB.txt dans ton prochain message 
Note : le rapport FindB.txt est sauvegardé à la racine du disque sur lequel tu as ton OS (C:\)



Al.

(à table maintenant!)

afideg · Answer

OK
Parfait

A)- Merci pour avoir exécuté le test avec FindB
Ça permet de faire avancer la mise au point de l'outil proposé par Chiquitine29


B)- Comment se comporte le PC ?


C)- C'est quoi ce truc dans le 8ème ComboFix de ce jour ?
2008-08-23 15:55 . 2008-08-23 15:57 <REP> d-------- C:\Antibeagle
Peux-tu m'apporter ton explication SVP ?


Merci
Al.

afideg · Answer

Recommandations:


Avant tout, il faudra surtout songer à protéger ce PC !
Grisoft AVG Internet Security Suite est-il acheté ?
Est-il actif ?
Je ne le vois pas en service. 


1°- Le malware Beagle est en réalité un ver informatique se propageant essentiellement par :
- les logiciels p2p 
- via de faux cracks (=logiciels piratés !)
- ainsi que par mail. 
L'internaute croyant « télécharger un crack pour un logiciel en faisant une recherche via un logiciel p2p » installe lui-même le ver sur son ordinateur ; car le fichier.exe contenu dans l'archive est en réalité le ver Beagle ! 
Les noms des logiciels crackés sont très divers et touchent une gamme assez étendue de type de programme.

2°- ---> Plus que jamais, il devient ESSENTIEL d'éviter tous les sites de cracks, warez, ... 

3°- Pour t'en convaincre, lis le contenu très clair de ces liens: 
•- les premiers sont de Malekal_morte et concernent les cracks => 
http://forum.malekal.com/ftopic4869.php 
http://forum.malekal.com/ftopic893.php 
http://forum.malekal.com/ftopic4442.php 
•- le second de Tesgaz concerne le P2P en général => 
https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 
* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):
Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers "Worm.Win32_Sumom-A" qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier "incoming/Shared" afin d'être expédié à toutes les personnes qui partagent tes téléchargements... 
L’infection « Worm.Win32_Sumom-A » => http://www.virustraq.com/info_virus/10134/details/
 Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
https://lexpansion.lexpress.fr/actualite-economique/

4°- Les infections se propageant par les supports amovibles : USB, Flash, etc.  
Une synthèse par mon ami Gof ici https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/      

5°- ATTENTION: À propos des clés USB 
/!\ Ne double clique surtout pas sur les icônes pour les ouvrir, sous peine de relancer l'infection. 
Il est souhaitable de prendre l'habitude de faire "clic-droit > ouvrir"./!\ 

Citation (merci à Malekal_morte):

a)- QUESTION: si j'ai bien compris, quand je vais sur un PC qui me semble être à risques, il suffit de ne pas double-cliquer sur les dossiers ou sur ma clé pour éviter d'activer ce virus ? 

b)- RÉPONSE: Non, ce serait trop facile. 
- Si tu vas avec ta clef USB sur un PC pourri, c'est fini, elle est infectée. 
- En revanche, si tu vas sur ton PC à toi qui est propre avec ta clef USB infectée et que tu n'ouvres pas en double-cliquant (ou s'il n'y a pas l'ouverture automatique), alors le PC ne sera pas infecté. 
MAIS la clef restera infectée par contre. 
Tout est expliqué ici: < https://forum.malekal.com/viewtopic.php?f=45&t=5544 > 

c)- COMMENTAIRES ET RECOMMANDATIONS: 
- Je pense que les PC à l'école, ou à la bibliothèque du quartier, là où vous avez le droit d'y connecter vos clefs USB, sont infectés. 
-- Si tu veux te protéger, tu crées un fichier "autorun.inf sur ta clef USB" comme expliqué dans la page que je t'ai donnée. 
Ta clef ne pourra pas être infectée.
--- Note de Afideg: Je ne l'ai jamais fait ==> donc, pas de question à ce sujet SVP. Merci. ;)


Bon W-E.
Al.

afideg · Answer

Bon. En attendant de savoir si ce AVG est correct, tu vas télécharger cet antivirus ANTIVIR, comme ceci: 1)- Télécharger à partir de ce lien et tuto http://www.libellules.ch/tuto_antivir.php 2)- Autres TUTORIELS : < https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement. - ou < http://www.malekal.com/tutorial_antivir.html > 3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation. - Attention : Sers-toi du tutoriel pour installer ANTIVIR, http://www.vista-xp.fr/forum/topic227.html 4)- Procédure d'utilisation: Après l'installation du programme et avant de lancer l'analyse, ... ...il faut redémarrer le PC en mode sans échec, comme ceci: < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > L'analyse: - Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir » - Cliquer sur l’onglet « scanner » - Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut) - Une fenêtre va s’ouvrir « Luke Filewalker » - Le scan va démarrer. - Mettre tout ce qu il trouve en "quarantine" Le rapport: Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître. Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau). Voici un lien pour ne plus avoir de popup intempestif pour acheter la version payante lors des mises à jour https://forum.malekal.com/viewtopic.php?p=45326#p45326 Si problème de mise à jour, télécharger les Maj d'antivir ici : https://www.bytesin.com/software/Download-Avira-Antivir-Virus-Definition-File-Update/ Installer Ensuite, réactive l'UAC. Bonne continuation Merci pour ta détermination à l'avantage de ta fille. Prends bien soin d'elle. Al.

afideg · Answer

Commence par ceci:

Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait, y compris REGEDIT4) :


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SR­OSA]
[HKEY_USERS\S-1-5-21-94552130-3600554969-758327263-1000\Soft­ware\Microsoft\Windows\CurrentVersion\Applets\Regedit] 
"LastKey"=-

Puis "fichier"/"enregistrer sous" >  sur le bureau 
Nom du fichier fix0.reg
Type de fichier : "tous les fichiers" 
Clique sur "Enregistrer" 

L'icône de fix0.reg doit ressembler à cela :  http://img219.imageshack.us/img219/2659/screenshot096pe5.png

Double clique sur fix0.reg pour l'exécuter.
=> tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" 
Si c'est bien le cas, clique sur "oui" 

Redémarre impérativement et normalement le PC

afideg · Answer

Grisoft AVG Internet Security Suite est-il acheté ? 

OUI ou NON ?

Souhaites-tu acheter une licence ?
Si OUI, alors choisis plutôt Kaspersky Internet Security 8 (2009)

Pas de souci depuis 3 ans maintenant !
Mon PC me donne satisfaction.
Tranquillité assurée.
Voir ici: http://www.kaspersky.be/fr/upgrade.html 
http://www.kaspersky.be/fr/promo_v2009/

afideg · Answer

Tu aurais dû commencer par la fusion
Avant de réactiver l'UAC

Fais un dernier effort SVP

Sais-tu entrer dans la BdR et y supprimer des clés et des valeurs éventeullement manuellement ?

afideg · Answer

Oui, c'est mieux en MSE

Mais si tu sais le faire manuellement, c'est bon.
Mais as-tu les "autorisations " ?

Commence par le Fix.reg.

afideg · Answer

relance le même contrôle avec OAD

afideg · Answer

Bonne nuit
J'ai 65 piges.
Merci à toi
Al.

afideg · Answer

Bonjour,

Peux-tu la supprimer manuellement ?

Je ne sais pas avec VISTA, mais avec XP-PRO on clique sur "Démarrer" > "Exécuter" > coller  REGEDIT  et valider par [OK] pour ouvrir la BdR (= Base de Registres).

Sous VISTA, pour faire apparaître la fenêtre "Exécuter", je crois qu'il suffit d'appuyer sur la touche du logo Windows + R, et normalement tu as la fenêtre "Exécuter" qui apparait derrière, tu peux alors taper  REGEDIT dans la zone de saisie et valider par [OK] pour ouvrir la BdR (= Base de Registres).
Note: Peut-être aussi par clic-droit sur "Démarrer" > "Recherche" > et coller "REGEDIT" > [Recherche] pour faire apparaître la BdR ?  (Foutu Vista; on n'a pas fini d'en parler).

Dis-moi d'abord si ça fonctionne bien comme cela.



/!\ATTENTION : Modifier la base de registre n'est pas sans risque, il est conseillé de sauvegarder le registre avant de faire des modifications ! /!\
Comment sauvegarder la base de registre, une fois sa page affichée à l'écran ?
Cliquer sur Fichier > Exporter. Une fenêtre de sauvegarde s'ouvre alors. Vous pouvez choisir l'emplacement où vous voulez stocker le fichier de sauvegarde. Parmi les options en bas de la fenêtre, vous pouvez choisir de sauvegarder l'ensemble de la base de registres ou seulement l'arborescence ouverte. Cliquer sur "Ok" : votre base de registre est alors sauvegardée. 
Attention : la sauvegarde complète de la base de registres peut prendre un certain temps suivant la puissance de votre ordinateur. Attendez la fin du travail, et n'arrêtez pas le programme ou l'ordinateur : votre sauvegarde ne serait pas effectuée correctement. 


Si tu as une quelconque hésitation, nous utiliserons l'outil IceSword efficace.

Merci

afideg · Answer

Bon, On essaie pour cette [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA] A)- D'abord sauvegarder la base de registre, une fois sa page affichée à l'écran. ==> Cliquer sur Fichier > Exporter. Une fenêtre de sauvegarde s'ouvre alors. Vous pouvez choisir l'emplacement où vous voulez stocker le fichier de sauvegarde. Parmi les options en bas de la fenêtre, vous pouvez choisir de sauvegarder l'ensemble de la base de registres ou seulement l'arborescence ouverte. Cliquer sur "Ok" : votre base de registre est alors sauvegardée. Attention : la sauvegarde complète de la base de registres peut prendre un certain temps suivant la puissance de votre ordinateur. Attendez la fin du travail, et n'arrêtez pas le programme ou l'ordinateur : votre sauvegarde ne serait pas effectuée correctement. B)- "Afficher les dossiers et les fichiers cachés" sous VISTA: < https://www.thesiteoueb.net/faq-astuces/fiche-pratique-530-comment-afficher-l-extension-des-fichiers-sous-vista.html > Pour activer cette fonction, ouvre l’explorateur et clique sur le menu "Organiser" => "Options des dossiers et de recherche" > onglet "Affichage" cocher la case devant les lignes: - afficher les fichiers et dossier cachés - afficher contenu dossier système décocher la case devant les lignes: - masquer les extensions des fichiers dont le type est connu - masquer les fichiers protégés du système d'exploitation Voir aussi "Afficher les fichiers systèmes protégés" < http://www.laboratoire-microsoft.org/t/7568/ > C)- Télécharge IceSword sur ton Bureau, depuis le lien suivant : https://www.majorgeeks.com/downloadget.php?id=5199&file=10&evp=0d36c3ec48c6373fd5daac78f0c6a417 ; ==> ensuite comme ceci : http://img299.imageshack.us/img299/815/screenshot418ok7.png 1) Double clique sur le fichier téléchargé, puis déplace (glisser/coller) le dossier jaune IceSword122_en sur ton Bureau. 2) Double clique sur ce dossier, puis sur IceSword.exe (contenant l’épée dans un carré jaune) afin de lancer l'outil. 3) Agrandis la fenêtre de l'outil en plein écran, en cliquant sur le petit carré (au haut, à droite) 4)- À gauche enfonce le bouton [Registry] (juste sous "Functions"). 5)- Par l'arborescence fournie, retrouve cette sous-clé en gras (en cliquant sur le signe "+" à chaque fois jusque y compris "Root" ): HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA Clic-droit sur la sous-clé LEGACY_SROSA, puis "Supprimer"(="Delete"). 6)- Poste le rapport obtenu. Courage Merci Al.

afideg · Answer

Oui, essaie en MSE
C'est pourtant la version pour Vista et testée mainte fois.
Je ne comprends pas


EDIT ==> Erreur de ma part; pardon.

Télécharger ici  http://www.antirootkit.com/software/IceSword.htm 
==> http://img54.imageshack.us/img54/1660/screenshot419oj7.png

Double-clique sur le fichier du bureau IceSword120_en.zip pour obtenir cette page http://img503.imageshack.us/img503/7100/screenshot322an1.png    ; puis, comme sur l'image, au menu "Fichier" choisir "Extraire tout". On obtient une nouvelle page IceSword120_en http://img260.imageshack.us/img260/7798/screenshot323yv2.png   ; là, comme sur l'image, clic-droit sur le dossier dézippé IceSword120_en , puis "Explorer" pour obtenir le contenu sur une nouvelle page .

Sorry !

afideg · Answer

à quel moment as-tu ce message "Initialize Failde [1]! ?

essaie ceci:  clic-droit sur l'exécutable icesword.exe après décompression de l'archive,
puis Propriétés => onglet Compatibilité => cocher "Exécuter ce programme en mode de compatibilité" => choisir "Windows Vista"

afideg · Answer

"Clic-droit" sur l’icône IceSword.exe puis "Exécuter en tant qu'administrateur" si le petit menu contextuel s'affiche avec VISTA  ==> qu'est-ce que ça donne ?

afideg · Answer

C'est pire que ton AGV ce truc.
Je dois m'absenter un peu.

Fais ceci, SVP:

Ouvre ce lien : 
https://www.bleepingcomputer.com/download/linux/  
pour télécharger regsearch.zip. 
Choisis Enregistrer puis Bureau. 
A la fin du déchargement fais un clic droit sur l'icône de regsearch.zip créée sur le bureau, choisis "Extraire tout" et suis les instructions.
Exécute Regsearch.exe qui se trouve dans le dossier qui vient d'être créé .
Dans la fenêtre qui s'ouvre vérifie que toutes les cases sont cochées. 
Ensuite colle LEGACY_SROSA dans la première ligne de la fenêtre et srosa.sys dans la seconde ligne.
Clique sur OK pour rechercher dans le registre. 
En fin de recherche, le bloc-note s'ouvre. Copie-colle le contenu du rapport dans ta réponse. 
Le rapport se trouve dans le même dossier que Regsearch.exe sous le nom RegSearch.txt. 

Merci
À tout à l'heure

afideg · Answer

Merci

En attendant des infos sur IceSword, accepte de supprimer FindB qui est sur ton bureau et de telecharger celui ci : 


Telecharge FindB en faisant un clic droit sur le lien, puis "enregistrer sous ...." ==>  sur le bureau 

---> http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.exe 


1) Double clic sur FindB 

2) Post le rapport FindB.txt dans ton prochain message 

note : le rapport FindB.txt est sauvegardé a la racine du disque 

pour voir ce que ça donne -;) 


Merci

afideg · Answer

Merci

Essaie de télécharger IceSword à partir de ces deux liens pour voir si le message revient :

http://202.38.64.10/%7Ejfpan/download/is120en_vista.zip
http://mail.ustc.edu.cn/%7Ejfpan/download/IceSword122en.zip

Merci

J'ai Kis7, et je n'ai pas ce message.
Donc, ça ne provient pas de Kaspersky.

Faudrait-il également renommer l'exécutable comme avec Elibagla ou ComboFix ?

Utilisateur anonyme · Answer

Salut niule,

peux tu faire ceci stp :

Telecharge FindyKill a la racine de ton disque

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill_96.rar

dezippe le a la racine du disque

-> Redémarre en mode sans échec : 

Comment redémarrer en mode sans echec? 

Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter. 
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal! 
Ps : si F8 ne marche pas utilise la touche F5. 

-> Tuto :https://www.malekal.com/demarrer-windows-mode-sans-echec/

une fois dans ce mode :

entre dans le dossier FindyKill 

double clic sur findyKill.bat

choisi l option 2

il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du rapport (post le)

-------> ensuite refais un scan FindB et post le rapport stp

Utilisateur anonyme · Answer

-;) ok à Tout de suite

Utilisateur anonyme · Answer

Aprés un message d'erreur sur un fichier soit disant non décompressé l'appli s'est arrêtée 


oui en effet je viens a  l instant de corriger

le voila suivi de findb identique a lui même 

non c est faux le registre a été netttoyé et les clé srosa détruite , pour preuve le rapport findB


Télécharge ToolsCleaner sur ton bureau. 
--> 
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
http://pc-system.fr/ 
# Fais un clic droit sur toolcleaner
# Choisi executer en tant qu administrateur
# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

afideg · Answer

Re,

Il ne trouve plus ceci:

+- Registre, recherche Srosa : 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA 
NextInstance REG_DWORD 0x1 

Al


PS: J'ai appeler à l'aide. Mais c'est dimanche encore.  À suivre...

Pour IveSword et AVG :
Je me demande si finalement le souci ne provient pas de Vista lui-même.
Sais-tu le vérifier avec SFC /SCANNOW + DVD d'installation éventuellement ?

Utilisateur anonyme · Answer

re Al

en fait le rapport findB est l ancienne version 

il ne montre pas les clé srosa ....

va falloir voir ça apres toolcleaner

Utilisateur anonyme · Answer

re

en attendant suis cette procédure stp :

Telecharge Kb2 sur ce lien : (merci a moe pour la réalisation !) 

http://sd-1.archive-host.com/membres/up/1366464061/KB2.exe 

Telecharge la nouvelle version d´eliblaga ici : (en bas de cette page) 

http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau. 

Etape 1 : 

Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir... 

Etape 2 : 

Sur ton bureau double clic sur KB.exe. 
Tu verras apparaître sur le bureau, un raccourci nommé "KillB". 
Fait glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier. 

Elibagla va se lancer automatiquement. 
Clic sur "Ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil : 

Por favor, envienos una muestra del fichero 
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18 
a "virus@satinfo.es". Gracias 
et/ou 
Eliminando Gusano BAGLE

Une fois fait, le menu principal d'Elibagla apparaîtra : 

- Laisse la case "Eliminar ficheros automaticamente" coché 
- Clic sur "Explorar" pour lancer le scan. 

/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler. 
/!\ Ne redemarre pas le pc après le scan. 

Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt

Utilisateur anonyme · Answer

si tu le souhaite c est preferable

afideg · Answer

(suite)

Je suis, je suis ... je suis derrière.   ;)
L'appel à l'aide extérieure est lancé.
Il n'y a plus qu'à ...

Merci niule de faire les applications proposées par Chiquitine29.
Pas de souci; nous sommes en rapport par MP.


Si tu faisais la même chose avec IceSword 
1°- => télécharger dans le disque local C:\  ===> tester
2°- => renommer IceSword.exe  ===> tester
3°- => renommer IceSword.exe en .com (par exemple)

Pour IveSword et AVG : 
Je me demande si finalement le souci ne provient pas de Vista lui-même. 
Sais-tu le vérifier avec la commande SFC /SCANNOW + DVD d'installation éventuellement ?

afideg · Answer

"Processus infectieux actifs"  ==> cela pourrait être vérifié par IceSword; malheureusement. 

Et déjà minuit chez toi ?

afideg · Answer

niule

Es-tu encore à l'ouvrage ?

afideg · Answer

Allo ?
niule ?

J'ai du nouveau pour toi.
Comment se comporte le PC de la "gamine" ?

Al.

afideg · Answer

Bonjour niule,

Voici l'aide extérieure attendue et que je remercie:

Pour supprimer cette LEGACY_SROSA juste un problème classique de droit à modifier. 
Ca peut être fait manuellement via regedit, mais pour plus de facilité j'ai uppé un petit script qui devrait faire le job : 
http://cjoint.com/data/iyvrUHUOIl_Kill_leg.zip 

UAC désactivée : 
Dézipper l'archive "iyvrUHUOIl_Kill_leg.zip" sur le bureau 
Dans le dossier "iyvrUHUOIl_Kill_leg" clic-droit sur sur "Kill_leg.bat" -> "Exécuter en tant qu'administrateur" 
La fenêtre de l'invite de commande va s'ouvrir et se refermer rapidement, c'est normal. 

Restera ensuite à vérifier via OAD si l'outil a bien fonctionné, ce qui devrait être le cas sauf si l'infection est active, ce qui ne me semble pas être le cas.


Bonne chance
Al.

afideg · Answer

Niule

Essaie ceci, SVP  (= détection)


Malgré qu'il ne soit plus en développement il est assez stable dans sa dernière version et peut être utilisé pour la détection sans risque; il est téléchargeable ici : 

http://forum.sysinternals.com/uploads/20071210_182632_rku373­00509.rar 

Un exemple de canned perso : 

Double-clic sur le fichier rku37300509.exe 

/!\Soit patient(e) car le programme peut mettre beaucoup de temps à s'ouvrir. 
Donc, pas la peine de double cliquer plusieurs fois sur l'exécutable si tu vois qu'il tarde à s'ouvrir, il faut juste attendre un petit peu /!\ 

Une fois le programme ouvert, dans le menu du haut clic sur l'onglet "Report" puis sur le bouton "Scan" 
Une fenêtre va apparaître avec les différentes sections/options qui peuvent figurer ou pas dans le rapport. 
Décoche toutes les cases, sauf : [Processes] et [Drivers] 

Clic sur "ok" pour valider, puis sur le bouton "Scan" pour démarrer l'analyse 

Lorsque l'analyse sera terminée, dans le menu du haut, clic sur "File" puis sur "Save report" 
Choisis le bureau comme lieu d'enregistrement 
Copie/colle sur le forum le contenu du fichier report.txt que tu as sauvegardé sur ton bureau. 


Merci
Al.

niule · Answer

Après tentative : message d'erreur "error loading driver, NTSATUS code :0000001
Voili, voila

afideg · Answer

Re,

Vraiment ravi pour toi ... et pour ta fille.

Donne-moi le lien de ce topic de mon ami O.Vertigo s'il vous plaît.
Mais dis-moi, est-ce O.Vertigo  ou bien  VertigO ?

Accepte aussi de poster le script comme tu l'as modifié.

Un très grand merci pour ta compétence et ténacité ... et ta collaboration.

Dis-moi, ton OS (Vista) est un 64 bits ?

Al.

Utilisateur anonyme · Answer

re,

je suis preneur du script aussi ....-;)

afideg · Answer

Merci

Pourquoi ma question sur l'OS ?

Parce que IceSword peut probablement aussi recontrer le problème de compatibilité avec des OS 64 bits; comme c'est le cas pour Rootkit Unhooker qui passe sous XP et Vista (sauf 64 bits).
Nous aurions donc pu également poursuivre en utilisant  Rootkit Unhooker qui détecte et éventuellement arrête les processus actifs et des trucs tels que LEGACY_SROSA ==> il aurait fallu faire le test plus tôt pour s'en convaincre.

Tu peux supprimer les outils utilisés.

Bonne continuation
Al

afideg · Answer

Bonjour niule,

J'ai relu le topic de O.VertigO

Il s'agit bien de mon ami liégeois en Belgique comme moi.
Son pseudo est la copie d'une marque de voiture sportive de luxe inventée et construite par un liégeois Mr Gillet
http://gilletvertigo.com/

Ce topic date du 12 septembre 2007; depuis, Beagle s'est amélioré pour jouer avec nos nerfs  ==> et remplir leurs poches dans l'étude de nouveaux outils de désinfection ---> ce qui mériterait qu'on les poursuive pour avoir infecté nos PC. (c'est comme les médecins qui nous bombardent de médicaments inutiles et dangereux à la fois, à la demande des sociétés pharmaceutiques qui leur offrent de riches vacances en récompense !!).

Encore, ce topic traitait un PC sous Windows XP (or le PC sous VISTA de ta fille n'accepte pas les mêmes ordres).

Tu as eu beaucoup de chance avec The Avenger qui a pu supprimer un élément de base de Beagle, mais qui avait été assommé/neutralisé entretemps. Je peux te citer de nombreux cas actuellement en traitement où l'usage de The Avenger ne réussit pas à éradiquer Beagle.

Veinarde va!
Content pour toi et ta fille.
Merci pour ta collaboration précieuse et positive.

Al.

afideg · Answer

Coucou niule,

==> Je ne cherchais plus qu'à supprimer cette clé de la BDR. 
Tu avais tout à fait raison; c'est légitime.


==> J'ai quand même fait fonctionner Avenger en mode comp xp sp2. 
Là, donne-nous SVP plus de détails.

•- En effet, voudrais-tu nous faire remarquer par là que The Avenger ne pouvait réussir à exécuter ton script qu'à la condition d'être configuré en "Mode compatibilité Windows XP SP2"; et donc qu'il n'y parvenait pas en "Mode compatibilité Windows-VISTA" (à supposer que ce mode puisse exister sur The Avenger)

Je parle aussi de la version 2 de The Avenger.


La chance se situe également dans le fait que tu n'avais que cette clé à supprimer :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRO­SA 

•- En effet, seules les clés de registre sous la ruche HKEY_LOCAL_MACHINE sont accessibles à The Avenger 2. 
•- De surcroît, Avenger v2 nécessite en 1ère commande : «  Begin copying here:  ».
Note: ... en laissant une ligne d'espacement entre "Begin copying here:" et la 1ere commande. 
•- Et on ne doit plus écrire "Drivers to unload:" , mais bien   ==> «  Drivers to delete:  »

Toutes ces nouveautés sur The Avenger 2 me laisse supposer que tu as utilisé la version 1 ==> laquelle ne traite que très partiellement, voire pas du tout,  une infection Beagle.


Il y a de quoi se poser des questions entre nous.
Bien sincèrement.
Al.

Infection bagle installation anti-virus impos

48 réponses

Discussions similaires

Newsletters