Problème avec HLDRRR.EXE
Fermé
Orchis
-
19 févr. 2008 à 21:10
Orchis Messages postés 9 Date d'inscription dimanche 30 décembre 2007 Statut Membre Dernière intervention 20 février 2008 - 20 févr. 2008 à 13:12
Orchis Messages postés 9 Date d'inscription dimanche 30 décembre 2007 Statut Membre Dernière intervention 20 février 2008 - 20 févr. 2008 à 13:12
6 réponses
Orchis
Messages postés
9
Date d'inscription
dimanche 30 décembre 2007
Statut
Membre
Dernière intervention
20 février 2008
20 févr. 2008 à 10:50
20 févr. 2008 à 10:50
Scan de ce matin, ça s'arrange pas, s'il vous plait aidez m oi.
Tue Feb 19 19:00:37 2008
EliBagle v11.01 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Tue Feb 19 19:00:47 2008
EliBagle v11.01 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LOGITECHDESKTOPMESSENGER.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 9690
Nº Total de Ficheros: 116321
Nº de Ficheros Analizados: 15338
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Wed Feb 20 09:54:32 2008
EliBagle v11.01 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Wed Feb 20 09:54:46 2008
EliBagle v11.01 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LOGITECHDESKTOPMESSENGER.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 9982
Nº Total de Ficheros: 116686
Nº de Ficheros Analizados: 15356
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 1
Wed Feb 20 10:39:11 2008
EliBagle v11.01 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Wed Feb 20 10:39:23 2008
EliBagle v11.01 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 9986
Nº Total de Ficheros: 117409
Nº de Ficheros Analizados: 15360
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0
Tue Feb 19 19:00:37 2008
EliBagle v11.01 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Tue Feb 19 19:00:47 2008
EliBagle v11.01 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LOGITECHDESKTOPMESSENGER.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 9690
Nº Total de Ficheros: 116321
Nº de Ficheros Analizados: 15338
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Wed Feb 20 09:54:32 2008
EliBagle v11.01 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Wed Feb 20 09:54:46 2008
EliBagle v11.01 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LOGITECHDESKTOPMESSENGER.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 9982
Nº Total de Ficheros: 116686
Nº de Ficheros Analizados: 15356
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 1
Wed Feb 20 10:39:11 2008
EliBagle v11.01 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Wed Feb 20 10:39:23 2008
EliBagle v11.01 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 9986
Nº Total de Ficheros: 117409
Nº de Ficheros Analizados: 15360
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
20 févr. 2008 à 11:04
20 févr. 2008 à 11:04
Bonjour,
Attention, cette manip est faite pour cet utilisateur. Toute utilisation sur un autre ordi est suceptible d'endomamger garvement le système d'exploitation.
Si tu n'as pas un windows légal avec la clé à 25 caractères et la version avec CD (pas un Cd de restauration), tu ne fais que le point 1.
Sinon, tu fais 1 et 2.
1) Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
Accepte la license en cliquant sur le bouton "I Accept"
Ferme hijackthis en cliquant sur la croix-rouge en haut à droite
Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :
http://www.techsupportforum.com/sectools/Deckard/dss.exe
Choisis "enregistrer" et "Bureau" comme emplacement.
Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).
Double-clique sur dss.exe pour lancer l'outil.
S'il ne trouve pas HijackThis, clique sur Oui.
Clique sur OK à chaque fois que cela sera demandé.
L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.
Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.
2) télécharge combofix (par sUBs)ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau sous le nom Antibagle (très important). Tu le nommes à ce moment là, pas après l'avoir enregistré, c'est trop tard.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Attention, cette manip est faite pour cet utilisateur. Toute utilisation sur un autre ordi est suceptible d'endomamger garvement le système d'exploitation.
Si tu n'as pas un windows légal avec la clé à 25 caractères et la version avec CD (pas un Cd de restauration), tu ne fais que le point 1.
Sinon, tu fais 1 et 2.
1) Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
Accepte la license en cliquant sur le bouton "I Accept"
Ferme hijackthis en cliquant sur la croix-rouge en haut à droite
Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :
http://www.techsupportforum.com/sectools/Deckard/dss.exe
Choisis "enregistrer" et "Bureau" comme emplacement.
Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).
Double-clique sur dss.exe pour lancer l'outil.
S'il ne trouve pas HijackThis, clique sur Oui.
Clique sur OK à chaque fois que cela sera demandé.
L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.
Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.
2) télécharge combofix (par sUBs)ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau sous le nom Antibagle (très important). Tu le nommes à ce moment là, pas après l'avoir enregistré, c'est trop tard.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Orchis
Messages postés
9
Date d'inscription
dimanche 30 décembre 2007
Statut
Membre
Dernière intervention
20 février 2008
20 févr. 2008 à 11:17
20 févr. 2008 à 11:17
Merci beaucoup pour ta réponse, mon Windows est bien une version légale, pas de problème à ce niveau. Je vais tenter la manoeuvre et je te tiens au courant, encore merci.
Orchis
Messages postés
9
Date d'inscription
dimanche 30 décembre 2007
Statut
Membre
Dernière intervention
20 février 2008
20 févr. 2008 à 12:54
20 févr. 2008 à 12:54
Je viens de trouver cece dans mon gestionnaire, penses-tu que je peux arrêter le processus de ce wintems ? J'aurais peut être plus facile pour supprimer cette saloperie avec KillBox ?
[url=http://pix.nofrag.com/c/a/a/b9b71ef209a2c2e8ec35cfb0b326d.html][img]http://pix.nofrag.com/c/a/a/b9b71ef209a2c2e8ec35cfb0b326dtt.jpg[/img][/url]
[url=http://pix.nofrag.com/c/a/a/b9b71ef209a2c2e8ec35cfb0b326d.html][img]http://pix.nofrag.com/c/a/a/b9b71ef209a2c2e8ec35cfb0b326dtt.jpg[/img][/url]
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
20 févr. 2008 à 13:01
20 févr. 2008 à 13:01
RE,
ce que je te propose me semble être, malgré les risques, avec l'échec (pour un temps) de elibagla, la meilleure. Une autre possibilité est plus complexe et utilise un outil toiut aussi dangereux.
On est face à une infection à rootkit. Quand on aura réglé le cas du rootkit, elibagla finira le nettoyage et restaurera les clés endommagées.
ce que je te propose me semble être, malgré les risques, avec l'échec (pour un temps) de elibagla, la meilleure. Une autre possibilité est plus complexe et utilise un outil toiut aussi dangereux.
On est face à une infection à rootkit. Quand on aura réglé le cas du rootkit, elibagla finira le nettoyage et restaurera les clés endommagées.
Orchis
Messages postés
9
Date d'inscription
dimanche 30 décembre 2007
Statut
Membre
Dernière intervention
20 février 2008
20 févr. 2008 à 13:12
20 févr. 2008 à 13:12
D'accord, merci beaucoup
