mardi, août 21, 2007

Eradiquer le worms (vers)Bagle et variante

Cette bestiole (Worms/vers) est particulièrement pénible à éradiquer, vu les variantes possibles.

Les noms exactes sont :
troj bagle.acz
troj bagle.adb
worm bagle.je
worm bagle.acy
worm bagle.LP
Bagle.ic, Bagle.ie, Bagle.id (appellation kaspersky).

Dans un premier temps, télécharge---> Multi-virus cleaner
Il est capable d'éradiquer Bagle et quelques variantes.
L'installation ne pose aucun souci c'est un .exe
Double-clic dessus, et configure sur analyse minutieuse.
Et désactive ton anti-virus !



















Bien,
l'outil classique de désinfection est celui-ci: (à télécharger)
Télécharge donc----> ELIBAGLA en bas de cette page
http://www.zonavirus.com/datos/desca...5/elibagla.asp
(clique sur le bouton "Descargar(télécharger) Elibagla") sur ton bureau.
Une fois qu'il est sur le bureau, lance ELIBAGLA.
C'est préférable en mode sans échec.
Mais parfois on n'est plus capable de lancer la machine en mode sans échec...
(à ce propos j'ai mis des infos à la fin de cette page)
(w32.beagle.kf/Trojan.Tooso.R ) qui empêche le redémarrage en mode sans échec !

en mode normal donc dans le cas contraire.
Attendre la fin du scan.....
Récupére alors le contenu du fichier "infoSat.txt"qui se trouve dans -> Poste de travail/Disque "C:\"
Copier/coller le contenu sur le forum.
-----------------------------------------------------
si ça ne va pas...essaye le mode manuel. (copier/coller le texte ci-dessous et enregistre sous :remove.txt)
-------------------------------------------------------------------------------
Drivers to unload:
m_hook


registry keys to delete:

HKLM\System\CurrentControlSet\Services\m_hook



Files to delete:
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Documents and Settings\%USERNAME%\Application Data\hidires\hidr.exe

C:\Documents and Settings\%USERNAME%\Application Data\hidires\m_hook.sys



Folders to delete:

c:\Documents and Settings\%USERNAME%\Application Data\hidires

C:\WINDOWS\exefld
--------------------------------------------------------------------------------------------------------------
ensuite télécharge ceci:
The Avenger de Swandog46
Dézippe le programme sur le bureau----->avenger.exe



















double-clic dessus.
A l'ouverture -----> ce message d'alerte.
























Ici il est bien coché (sur l'image)
Load script filename here or click Open Script button at right.
Lire un Script à partir d'un fichier,
Clic sur le petit dossier pour ouvrir le fichier et cibler "remove.txt"
(Enregistré précédemment avec Notepad.exe.)


















Ensuite un avertissement:
ensuite clic sur le feu vert

















clic sur "oui"
La machine va rebooter, et le script va s'exécuter.
Bien, ensuite faits ceci:
Un coup de clean:

Dézippe l'outil et faire l'option 1.












Poster le rapport.
En cas de souci avec le mode sans échec:
---------------------------------------------------------
Vous avez le sp1, télécharger directement un fichier "reg" pour restaurer les paramètres du mode sans échec, une fois sur le bureau double-clic dessus.
télécharger pour SP1 ici
télécharger pour le SP2 ici


------------------------------------------------------------------------
Enregistrer un commentaire