MDELK.EXE impossible à supprimerRésolu/Fermé

Question

Slt à tous, le pb est déja posé : impossible de dégager ce foutu fichier infecté par BAGLE !!!
Ni le scan online ni ELIBAGLA...

Dois-je formater mon foutu PC ?

Merci de lire ce message.

Lyonnais92 · Accepted Answer

Salut,

dis donc dupont, tu as une sacré capacité de truander la vérité.

Tu te permet d'écrire que tu as scrupuleusement exécuté les instructions d'afideg alors que :

- comme il le dit, tu as utilisé un script the avenger qui ne t'a pas été demandé. En plus, tu es sur un script pas banal.

- tu as utilisé une option de combofix (un script) qui ne t'a pas été prescrite. En plus, ce script utilise des fonctionalités qui demandent certaines connaissances.

Et, en lisant bien, tu avais déjà combofix. pas renommé ? pas attaqué par bagle ? très très bizarre !!!!!!

Par hasard combofix ?



Pendant qu'on y est, on va régler son compte au bouffon, papimarcel.

Ce cher papimarcel qui connait très bien combofix, qui connait très bien elibagla, et qui, quand on parle de mdelk, vient la bouche en coeur nous réciter la liste des fichiers caractéristiques de l'infection bagle actuelle (sans préciser justement que bagle c'est ça). Très rigolo !

afideg · Answer

Bonsoir 


•	Télécharge ELIBAGLA en bas de cette page < http://www.zonavirus.com/datos/descargas/95/elibagla.asp  >
•	Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place le sur le bureau.
•	Lance-le, de préférence en mode sans échec si tu en as la possibilité (si tu y a accès), en mode normal dans le cas contraire.
•	Double-clique dessus pour l'ouvrir.
•	Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\
•	Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
•	Clique sur le bouton Explorar pour lancer l'analyse.
Poste le rapport ELIBAGLA stp.
Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt qui se trouve dans Poste de travail > Disque C:\



Merci
Al

dupont · Answer

Quand je lance ELIBAGLA, il  y'a ce message bizarre :

Por favor,envienos una muestra del fichero C:\Muestras\FLEC006.EXE.Mustra EliBagle v11.13 a "virus@satinfo.es"

C'est quoi encore ça ?

papimarcel · Answer

tu es infecté par bagle mon ptit .... souvent c'est du a un téléchargement de crack.... donc premiere chose a faire suprimer le crac et desisntaller le programme craké.   et supprimer le repertoire dinstallation c (ou d)/program files/xxxxxx.

Il faut savoir que des que tu tenteras de le suprimer il se remettra .... (via internet ou dautres exe qui sont infectés)


Télécharge.  F-Secure Blacklight  
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe 

elibagla cf post de ci dessus 

et surtout combofix 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
attention apres avoir cluqer sur le lien choisir "enregistrer" le palcer ds le bureau et renomer l'exe en ce ke tu veux comme antibagle sinon mdelk va le bloker et il sera inutilisable   ==> application WIn 32 non valide


une fois fait 


tu debranches internet !!!!!!!! sinon le virus va revenir par internet


tu utilises elibagla d'abord puis combo fix  et enfin f secure back light .

une fois terminé il faut purger les restauration systeme    démarrer/panneau de config/systeme/restauration systeme/  et apres séléctionne desactivez la rstauration ca va chargé une fois le chargement terminé (30 sec environ) tu desactive loption.


en theorie c'est terminé sinon si t'as besoin d'aide reviens ici .


Saches que c'est un virus tres coriace, je l'ai eu aussi , mais saches une chose le télécahrgement de crack est interdit apr al loi.

afideg · Answer

OK

Rien de bizarre .
Tout simplement, le concepteur du programme a besoin de le mettre à jour .
Pour cela, il a besoin de cas vécu où son programme voit un exemple qui lui est inconnu.
Il faut donc lui envoyer ce fichier FLEC006.EXE.Mustra EliBagle v11.13 
==> par e-Mail et en pièce jointe à cette adresse: virus@satinfo.es
Dans les 24 heures, son programme est adapté à cette infection et tu reçois la dernière version ELIBAGLA mise à jour.

Merci à toi au nom de la recherche.


Donc, j'attends le rapport Elibagla.
Note : Lance-le 3 fois de suite.
Et poste le rapport final.


Ensuite Télécharge ComboFix.exe (par sUBs) sur ton Bureau comme ceci strictement :
Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
Puis choisis "Enregistrer sous .." ==> vers le 'bureau" 
==> Attention : renomme-le sous le nom Antibagle (très important).
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard. 
Puis clic sur [Enregistrer]
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 (ou Yes) puis [Enter] .
Accepter les alertes éventuelles.
Laisse se dérouler le scan.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau.
Note: ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
Tu copies et colles ce rapport sur le forum


Bonne chance
Al.

afideg · Answer

Allo dupont

Je voudrais que tu poursuives ce topic avec moi svp.

Merci à papimarcel, mais j'ai des choses à vérifier.

Al.

dupont · Answer

J'ai déja combofix, je vais telecharger black light.

Une question stp mon ami :

mdelk.exe est-il un fichier suspect ? En éliminant BAGLE disparaitra-t-il lui aussi ?


Merci papimarcel !

dupont · Answer

Black light est sur un lien proche (CCM) :

http://www.commentcamarche.net/telecharger/telechargement 34055027 f secure blacklight

afideg · Answer

Allo dupont 

Je voudrais que tu poursuives ce topic avec moi svp. 
Tu fais ce que je demande au post # 6
Et laisse-moi tranquiile avec BlackLight ! SVP

Tu supprimes ta vieille version de ComboFix
Et tu fais comme je l'ai écrit.
Merci

afideg · Answer

Nom de dieu Dupont

Je vais m'en occuper
Ou je fous le camp !

afideg · Answer

Je passe à table
Je reviens d'ici 20 minutes
Merci
Al

afideg · Answer

Voilà Dupont, je suis de retour. Et toujours AUCUN des rapports demandés en vue ! Supprime ta version actuelle de HijackThis. Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 1°- Clic sur ce lien < http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download > avec un installeur. 2°- En descendant dans la page, choisis de cliquer sur « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png Puis sur [Enregistrer] ==> choisis sur le bureau 3°- ==> ATTENTION !! Il faut maintenant le renommer! Tu le nommes (par exemple Joubert.exe) à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard. Regarde cette capture écran pour t'aider ==> Tu effaces “HJTInstall.exe” et le remplaces par exemple par “Joubert.exe”. 4°- Termine par [Enregistrer] Tu dois voir une nouvelle icône « Joubert.exe » sur le bureau. 5°- Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse. Tutoriel : < [ http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ] > Poste le rapport obtenu, SVP Merci Al.

afideg · Answer

Suite et fin.

Je me doutais bien que "dupont" et "papimarcel" étaient deux copains qui voulaient s'amuser un peu.
C'est raté!
Vous avez bien chanté; et bien chantez maintenant!

Al.

afideg · Answer

Re

Citation: « Combo-Fix a généré un dossier dans C appelé QooBox où il y'a un sous-dossier appelé Quarantine (quarantaine) que j'ai scanné avec Avira AntiVir mis à jour.J'ai supprimé tous les virus s'y trouvant  »
==> Ridicule ==> on ne passe pas son temps précieux à scanner le Qoobox de ComboFix, là où les éléments de l'infection sont devenus inactifs ! 
Surtout quand le helper attend des résultats d'analyses qu'il avait demandées ==> manque total de respect !


1°- Je ne veux plus entendre parler de BlackLight (dans ce cas-ci) !

2°- Qui t'a demandé d'utiliser The Avenger ?
De quand date ce rapport?
Donne-moi le script que tu as utilisé pour The Avenger, SVP.

3°- Qui t'a demandé de télécharger (avant toute désinfection !!):
- Anti-virus AVIRA ANTIVIR. 
- Pare-feu ZoneAlarm. 
- Anti-spyware SpyBot + Ad-Aware 2007. 
- Nettoyeur CCleaner. 

4°- Je ne vois pas le rapport complet  de ComboFix.

5°- Je ne vois pas le rapport d'analyse complète par HijackThis.

Sur quel autre forum es-tu ?
Ton PC n'est pas désinfecté.


RAPPEL:  Il faut donc lui envoyer ce fichier FLEC006.EXE.Mustra EliBagle v11.13 
==> par e-Mail et en pièce jointe à cette adresse: virus@satinfo.es 
Dans les 24 heures, son programme est adapté à cette infection et tu reçois la dernière version ELIBAGLA mise à jour. 


Al.

dupont08 · Answer

FLEC006.EXE.Mustra EliBagle v11.13  est un virus car en le scannant avec Avira il l'a détecté tel quel, alors je l'ai supprimé. Comment veux-tu que j'envoie un virus par e-mail ? t'es normal toi ?

Je vais t'envoyer le rapport d'HijackThis, ok ?

Mon pseudo est devenu dupont08 car je me suis inscrit à CCM.

afideg · Answer

Re,

Citation «  Comment veux-tu que j'envoie un virus par e-mail ? t'es normal toi ?  »

Réponse: Oui, je suis d'autant plus normal, que le programme lui-même t'invite à envoyer ce fichier.
Mais tu dois être plus malin que tous ceux qui acceptent d'aider la recherche anti-malwares en envoyant ces fichiers chaque jour et sans souci.
Tous les lecteurs apprécieront ton attitude.

Bienvenue dans le club des cons et des anormaux de CCM.
Bonsoir cher collègue .


Rappel entre collègues :
2°- Qui t'a demandé d'utiliser The Avenger ? 
De quand date ce rapport? 
Donne-moi le script que tu as utilisé pour The Avenger, SVP. 
4°- Je ne vois pas le rapport complet de ComboFix. 
5°- Je ne vois pas le rapport d'analyse complète par HijackThis. 

==> mais sans doute es-tu gêné ou incapable de produire ces rapports ? 

Al.

dupont08 · Answer

Je sais que tu es tjs là, sinon demain tu liras les rapports.
Je ne vois pas pourquoi t'es ennervé comme ça (Bienvenue dans le club des cons et des anormaux de CCM +  sans doute es-tu gêné ou incapable de produire ces rapports ?). Je ne joue pas à ce jeu là, tu m'excuses mon ami.

Voici le rapport de HijackThis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:13, on 2008-03-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
C:\Program Files\Winbond\WLAN\WBSECSVC.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ClocX\ClocX.exe
C:\Program Files\Athan\Athan.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Winbond\WLAN\wwu.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Etudes\Microsoft Encarta 2008 - Etudes DVD\EDICT.EXE
C:\Program Files\FastNote\kfn.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\DELL\Bureau\Sécurité Minimale Pour Un PC\Logiciels Supplémentaires\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ClocX] C:\Program Files\ClocX\ClocX.exe
O4 - HKLM\..\Run: [Athan] C:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [wwu] C:\Program Files\Winbond\WLAN\wwu.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [L08FXLRD_48604468] "C:\Program Files\Microsoft Etudes\Microsoft Encarta 2008 - Etudes DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [mule_st_key] C:\Documents and Settings\DELL\Application Data\m\flec006.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Fast Note.lnk = C:\Program Files\FastNote\kfn.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AC1E2CA-5144-438B-8664-B7506658EEFA}: NameServer = 208.67.222.222 193.55.10.102
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - r:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - r:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - r:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - r:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: wbsecsvc - Winbond - C:\Program Files\Winbond\WLAN\WBSECSVC.EXE
O24 - Desktop Component 0: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

dupont08 · Answer

Peux-tu me dire si BAGLE a disparu ?

dupont08 · Answer

Pour Avenger, je n'ai aucune idée d'ou ça vient. C'est en utilisant Combo-Fix que je l'ai vu. Je n'ai installé aucun truc répondant à ce nom...

Je te re_poste le rapport trouvé dans C appelé simplement Avenger.txt :

//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vkquwexg

*******************

Script file located at: \??\C:\antiBagle\ComboDel.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\system32\drivers\hldrrr.exe|C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\hldrrr.exe.vir completed successfully.
File move operation C:\WINDOWS\system32\drivers\srosa.sys|C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\srosa.sys.vir completed successfully.
File move operation C:\WINDOWS\system32\mdelk.exe|C:\QooBox\Quarantine\C\WINDOWS\system32\mdelk.exe.vir completed successfully.
File move operation C:\WINDOWS\system32\wintems.exe|C:\QooBox\Quarantine\C\WINDOWS\system32\wintems.exe.vir completed successfully.

Completed script processing.

*******************

Finished!  Terminate.

Lyonnais92 · Answer

Re,

Pour Avenger, je n'ai aucune idée d'ou ça vient.

Ca, c'est l'Immaculée Conception version Internet !!

dupont08 · Answer

Ca, c'est l'Immaculée Conception version Internet !! 

C'est quoi ton problème monsieur ?

dupont08 · Answer

BSR

dupont08 · Answer

Ecoutes Lyonnais92, faut pas trop me secouer comme ça parceque je suis fatigué. Depuis le 06 mars je n'arrête pas de chercher comment neutraliser ce virus, et aujourd'hui grâce à notre ami Afideg j'ai pu le faire. 
Quel interet aurai-je à faire ces scripts alors que mon but était de me débarasser de ce virus. 

Une precision à vous donner : en exécutant Combo-Fix ( ou plutôt AntiBagle ), un point de restauration a été crée d'abord, puis il a commencé à supprimer les fichiers suspects. En revenant à C, je trouve 3 nouveaux répertoires : 

-- AntiBagle. 
-- Avenger. 
-- QooBox. 

C'est la 1ère fois que j'ai fait cette opération. Je ne vois pourquoi tous ces soupçons injustifiés. 
ça me dépasse ces trucs-là monsieur. 

Et puis, j'ai renommé ComboFix en AntiBagle. Qu'est-ce qui est bizarre ? 

Ce qui compte pour moi ( et je suis très reconnaissant pour votre aide ), c'est de savoir si Bagle a disparu en lisant ces rapports ? 

Je vous remercie.

afideg · Answer

Bonsoir Lyonnais,
Je pense que nous sommes dépassés par la façon de penser de ceux qui croient encore au petit Jésus (et qui voudraient nous faire croire en leur vision des choses ==> malgré l'évidence des rapports!).
D'ici 10 ans, comment vont encore penser/réfléchir/discerner tous ces gens qui ne savent pas lire aujourd'hui, qui réclament assistance à tire-larigot sans effort personnel, et qui refusent obstinément d'avancer vers plus de connaissances.
Bref, nous n'y changerons rien.


Pour dupont & dupont08 qui écrit: « Une precision à vous donner : en exécutant Combo-Fix ( ou plutôt AntiBagle ), un point de restauration a été crée d'abord, puis il a commencé à supprimer les fichiers suspects. En revenant à C, je trouve 3 nouveaux répertoires : -- AntiBagle, -- Avenger et -- QooBox. C'est la 1ère fois que j'ai fait cette opération. »

1°- Tu l'as ramassé où ton PC, si c'est la première fois que tu le désinfectes, et qu'il contient le témoignage de The Avenger ?


2°- Mais pourquoi rechercher en C:\ un rapport ComboFix.txt (Antibagle.txt), alors que ma procédure précise: « Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau » ; et dès lors, qu'il suffisait de le poster au lieu de ... ? ==> OK ?!

Or, il existe bel et bien ce rapport par ComboFix puisque tu ajoutes: « puis il a commencé à supprimer les fichiers suspects »  ==> OK ?!

Et tout méticuleux comme tu le prétends et grand analyseur de ce qu'on lui demande, tu étonnes en ne produisant pas ce rapport tant convoité et qui doit forcément se trouver dans un des trois nouveaux répertoires créés en C:\ . ==> OK ?!

La cerise sur le gâteau quand tu laisses écrire: « Ce qui compte pour moi ( et je suis très reconnaissant pour votre aide ), c'est de savoir si Bagle a disparu en lisant ces rapports ? » ; il faut en avoir du toupet pour nous réclamer une conclusion définitive sur base des rapports (absents) que tu prétends nous livrer !! ==> OK ?!

3°- Donc, nous attendons patiemment ce rapport et réponse à nos questions sur The Avenger.

4°- Je ne te demande pas encore pourquoi tu as besoin de deux antivirus : Avira AntiVir PersonalEdition et Avast! Antivirus.
- Je ne te demande pas ce que tu as fait avec BitDefenderOnLineAntivirus, ou avec BitDefender Online Scanner v8 (si c'est plus clair pour toi ainsi écrit)  
==> quoique, et à ce propos, et si tu as par hasard un rapport BitDefender, je voudrais le lire SVP. Merci
- Par contre, je te demanderai à quoi te servent, et où as-tu téléchargé ces programmes/logiciels : Winbond / Aqua Real / DAP / FastNote / Microsoft Encarta 2008 - Etudes DVD / ClocX / 


5°- Euh! 
Petite note pour en rire 
==> O17 - HKLM\System\CCS\Services\Tcpip\..\{8AC1E2CA-5144-438B-8664-B7506658EEFA}: 
NameServer = 208.67.222.222 193.55.10.102 
inetnum:        193.55.10.0 - 193.55.10.255
netname:        FR-UPSN-03
descr:          Universite de Paris Sud (Xi)


Allez bon, je vais me coucher.
Ça vaudra mieux.
Bonne nuit Lyonnais et merci pour le soutien.
Al.


Patience-Vigilance-Amour.

Lyonnais92 · Answer

Bonjour,

mon problème, c'est qu'il ne faut pas me prendre pour une bille.

dupont, tu  as fait des choses que tu n'as pas dites et pas fait des choses qu'on te demandais.

Et le résultat du matériel que tu as livré est bourré de "surprises".

Il faut bien comprendre que nous opérons par analyse de qui est "anormal" dans l'information qui nous est livrée. Nous passons notre temps à lire et à comprendre (c'est à dire interpréter) l'information qu'on nous livre. Et à en tirer des conclusions opératoires.

Quelques milliers de posts nous ont vacciné sur les motivations de ceux qui interviennent ici. Evidemment, la très grande majorité sont des internautes en difficulté. Pour le reste, on peut tout rencontrer.

En particulier la désinfection bidon ou le pseudo internaute en difficulté et son pseudo-aideur sont une seule et même personne.

Et je crois que tu ne te rends pas compte à quel point le petit jeu de ping-pong entre toi et papimarcel a ce petit parfum de bidonnage.

afideg · Answer

(suite)

Le lâcher de "pigeons" est pour bientôt (en attente de meilleures conditions climatiques).
Et bientôt également les "poules de Rome" vont traverser notre ciel avec leurs œufs de Pâques.
Si l'on y croit, nous aurons très bientôt donc une "pluie de rapports" ==> gare à nos têtes !

Bonne journée
Bonjour Lyonnais.
Ça m'a bien fait sourire cette localisation émettrice en O17.    ;)
C'est vrai qu'il nous manque des "Maîtres" dans nos "Universités"; 
==> mais où sont-ils ceux qui doivent former ces Maîtres ??
Serait-ce là aussi le reflet de nos sociétés ?  ==> OUI, je le crois !!
Al.

dupont08 · Answer

Pour AFIDEG :

Je pense que nous sommes dépassés par la façon de penser de ceux qui croient encore au petit Jésus (et qui voudraient nous faire croire en leur vision des choses ==> malgré l'évidence des rapports!). 
D'ici 10 ans, comment vont encore penser/réfléchir/discerner tous ces gens qui ne savent pas lire aujourd'hui, qui réclament assistance à tire-larigot sans effort personnel, et qui refusent obstinément d'avancer vers plus de connaissances. 
Bref, nous n'y changerons rien.

Tu l'as ramassé où ton PC

Petite note pour en rire 
==> O17 - HKLM\System\CCS\Services\Tcpip\..\{8AC1E2CA-5144-438B-8664-B7506658EEFA}: 
NameServer = 208.67.222.222 193.55.10.102 
inetnum: 193.55.10.0 - 193.55.10.255 
netname: FR-UPSN-03 
descr: Universite de Paris Sud (Xi) 

Le lâcher de "pigeons" est pour bientôt (en attente de meilleures conditions climatiques). 
Et bientôt également les "poules de Rome" vont traverser notre ciel avec leurs œufs de Pâques. 
Si l'on y croit, nous aurons très bientôt donc une "pluie de rapports" ==> gare à nos têtes ! 

Bonne journée 
Bonjour Lyonnais. 
Ça m'a bien fait sourire cette localisation émettrice en O17. ;) 
C'est vrai qu'il nous manque des "Maîtres" dans nos "Universités"; 
==> mais où sont-ils ceux qui doivent former ces Maîtres ?? 
Serait-ce là aussi le reflet de nos sociétés ? ==> OUI, je le crois !! 


J'exige des explications sur toutes ces injures !

Lyonnais92 · Answer

Salut,

tu as beaucoup d'éléments de réponse ici :

http://www.commentcamarche.net/forum/affich 5428122 mdelk exe impossible a supprimer?page=2#33

dupont08 · Answer

Pour Lyonnais92 :

En particulier la désinfection bidon ou le pseudo internaute en difficulté et son pseudo-aideur sont une seule et même personne. 

Et je crois que tu ne te rends pas compte à quel point le petit jeu de ping-pong entre toi et papimarcel a ce petit parfum de bidonnage.

Stp, si t'as un problème avec papimarcel, tu n'as qu'à le lui dire. Tu te trompes énormément en disant qu'il y'a complicité entre nous. Je suis juste venu demander assistance dans ce forum, pas pour un autre motif.

-----------------------------------------------------------------------------------------------------------------------------------------------------------------

Et le résultat du matériel que tu as livré est bourré de "surprises".

J'aimerai sincérement savoir quelles sont ces surprises ?
 et c'est quoi cette histoire d'avenger ? c'est quoi au juste ? est-ce un autre programme espion lié à Bagle ?
Merci de ton aide.

dupont08 · Answer

Je viens pour une aide, je me retrouve dans un commissariat !

Mais c'est quoi cette foutue histoire d'avenger bon sang !!!

Vous vous prenez pour qui ?

Lyonnais92 · Answer

Re,

papimarcel,

je ne l'ai pas oublié :

http://www.commentcamarche.net/forum/affich 5428122 mdelk exe impossible a supprimer#25


pour toi, j'ai aussi dit que tu n'avais pas fais ce qui t'étais demandé en particulier poster les rapports.

tu aurais posté le rapport de Combofix, tu n'aurais pas eu tout ça.

Déjà, tu aurais posté le rapport d'elibagla au lieu de demander ce qu'était cette histoire d'envoi de fichier ...

Ca fait 3 semaines que je prends les infections de bagle et que je me bats avec les "télécharge ... Application Win32 invalide. télécharge, ..." et toi rien impeccable, tout bobn, tout du premier coup. mais aps de rapports. On redemande rien. On reredemande, un bout, bizarre, et ainsi de suite.

dupont08 · Answer

Mais bon sang j'ai pas vu ce rapport de combofix sur le bureau, il y'avait le rapport de blacklight.
Je ne sais pas ce qui c'est passé...

Une question stp : ces 3 dossiers crées dans C, est-ce normal ?
Une autre question : d'ou est venu avenger ?



Voulez-vous que je fasse une autre analyse avec combo-fix histoire de voir si ça donne un rapport ?

Je comprends ce que tu veux entreprendre, mais tu te trompes de cible car je n'ai rien fait de mal.

Lyonnais92 · Answer

Re,

il est possible que ce soit normal.

The Avenger et Combofix sont 2 outils extrêmement puissants dont les auteurs conservent les modes de fonctionnement (pour en conserver l'efficacité).

Regarde si tu trouves C:\Combofix.txt.

Si oui, ouvre le avec le bloc-notes et poste le.

De toute manière, il faut enlever les outils de désinfection :

Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe


Clique sur Recherche et laisse le scan se terminer.



Clique, sur Suppression pour finaliser.



Tu peux, si tu le souhaites, te servir des Options facultatives.



Clique sur Quitter, pour que le rapport puisse se créer.



Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

afideg · Answer

Bonjour dupont & dupont08 & Cie,

Bonjour Lyonnais92 et cyrildu17, mes respects.


Post # 32 ==> Rappel:
« Pour dupont & dupont08 qui écrit: « Une precision à vous donner : en exécutant Combo-Fix ( ou plutôt AntiBagle ) , un point de restauration a été crée d'abord, puis il a commencé à supprimer les fichiers suspects. En revenant à C, je trouve 3 nouveaux répertoires : -- AntiBagle, -- Avenger et -- QooBox. C'est la 1ère fois que j'ai fait cette opération. » 
« ... tu étonnes en ne produisant pas ce rapport tant convoité et qui doit forcément se trouver dans un des trois nouveaux répertoires créés en C:\ . »

NOTE pour dupont & dupont08 : 
- Ce n'est pas nous qui avons ouvert une discussion sur The Avenger, ou qui en avons posté un soi-disant rapport; c'est très précisément toi-même ! 
- Pouvons-nous à notre tour te demander des explications sur ce rapport The Avenger  ?
- Et le demander comme ceci: « Cit. Dites-moi d'abord c'est quoi avenger ensuite je pourrai continuer à discuter avec vous ».

Citation: « Voulez-vous que je fasse une autre analyse avec combo-fix histoire de voir si ça donne un rapport ? » .
... histoire de voir si ça donne un rapport  ==> tu nous prends vraiment pour des imbéciles !
Ton niveau intellectuel et d'éducation ne fera pas le poids.
Arrête de cracher dans la soupe; c'est très impoli et vulgaire !

J'ai tout mon temps ...
As-tu vu ma signature ?
Al.

dupont08 · Answer

Sur C il n'y a pas combofix.txt


Voici le rapport généré par TCleaner ( pouquoi a-t-il supprimé HijackThis ?) :

-->- Recherche: 

C:\Qoobox: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\remove.reg: trouvé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\pskill.exe: trouvé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\delsiri.cmd: trouvé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\delr.cmd: trouvé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\del3.cmd: trouvé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\del2.cmd: trouvé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\clean.cmd: trouvé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\cherche.cmd: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Program Files\HijackThis: trouvé !
C:\Program Files\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\remove.reg: supprimé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\pskill.exe: supprimé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\delsiri.cmd: supprimé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\delr.cmd: supprimé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\del3.cmd: supprimé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\del2.cmd: supprimé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\clean.cmd: supprimé !
C:\Documents and Settings\DELL\Bureau\TELECHARGEMENTS\05-03-2008\clean\clean\cherche.cmd: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Program Files\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

afideg · Answer

Dupont, fais maintenant ceci SVP:

Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
Puis choisis "Enregistrer sous .." ==> vers le 'bureau" 
==> Attention : renomme-le sous le nom « TRISTAN.EXE » (très important).
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard. 
Puis clic sur [Enregistrer]

Avant d'utiliser ComboFix : 
==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. 
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).

- Double clique sur l'icône de ComboFix.exe ( TRISTAN.EXE ) du bureau, [Exécuter] et suis les invites.
Tape 1 (ou Yes) puis [Enter] .
Accepter les alertes éventuelles.
Laisse se dérouler le scan.

/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. 
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse). 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau.

Note: ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt - ou TRISTAN.txt)

==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. 

==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt (TRISTAN.txt) dans ton prochain message.


Merci
Al.

dupont08 · Answer

Excusez-moi de vous quitter parceque ces gamineries de AFIDEG ne font pas honneur au forum et aux aimables membres et visiteurs qui participent à celui-ci.


                                                                         "   Dupont08  "

afideg · Answer

(suite)

==> C:\Qoobox: trouvé ! 
==> C:\Qoobox: supprimé ! 

Échec et mat!
Abandon devant une nouvelle procédure ComboFix.
dupont n'en a guère ! --> il n'a plus d'argument de défense; donc il fuit en grognant!

Les vaincus d'aujourd'hui ne le seront plus demain; qui sait ?.

NOTE ==> Post # 19 ==> 

Cit. « 1/ J'ai téléchargé Combo-Fix mais en l'enregistrant sur le bureau je l'ai appelé AntiBagle. J'ai téléchargé aussi les dernières versions de Elibagla et de BlackLight. 
2/J'ai exécuté d'abord Combo-Fix. 
Lors du reboot, voyant le PC bloqué, j'ai éteint par le bouton OFF puis j'ai ré-allumé. »

Voilà ce qui arrive quand on ne respecte pas les procédures! 
Voilà ce qui arrive quand on utilise une version en .exe < http://download.bleepingcomputer.com/sUBs/ComboFix.exe > qui n'est pas assurée d'être mise à jour. 
(lire #4 du complice papymarcel!) 


Rappel post # 21 Cit. « FLEC006.EXE.Mustra EliBagle v11.13 est un virus car en le scannant avec Avira il l'a détecté tel quel, alors je l'ai supprimé. Comment veux-tu que j'envoie un virus par e-mail ? t'es normal toi ? »



Al.

Lyonnais92 · Answer

Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm

avant de poster ce nouveau message,

 Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

relance elibagla 3 fois de suite et redémarre en mode normal.

Là, tu postes le nouveau rapport de eligabla dans ton propre post.
A bientôt

afideg · Answer

Bonsoir


Rappel ==> Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace 
Procèdes comme ceci : 
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm 

Merci
Al.

MDELK.EXE impossible à supprimer

40 réponses

Newsletters