Service d'Aide et d'Assistance Micro-informatique à l'Utilisateur (SAAMU)

Bonjour,
Je viens de me ramassé une infection sérieuse srosa2.sys
Cela à bloqué complètement mon ordinateur, désactivation de:

1. Avast

1. Pare feu windows

1. Connexion au réseau

Eh bien vous êtes dans de beaux draps à en juger par la lecture de ce lien http://www.commentcamarche.net/faq/sujet-9889-comment-supprimer-le-virus-beagle-bagle
Vous souhaitant bonne chance pour vous sortir de ce KK (Ah P2P quand tu nous tiens)

!	"Papy40":
	Problème plutôt lié à l'installation de Cracks vérolés

Bonjour

Ouvres le registre ==> Démarrer/ Exécuter/ écris regedit et valides par OK.

Vas sur HKEY Local Machine > system > CurrentControlSet > Services > Ndisuio

Dans cette clé il y a une entrée nommée "START", double clique dessus. Cette entrée doit être 3 pour que le protocole NDIS E/S demarre correctement.

Un virus comme "bagle" change cette entrée et la met sur 4 (disable) et empêche ta connexion.

Redémarres et tu devrais retrouver ta connexion.

Installes et exécutes Malwarebytes' Anti-Malware en suivant scrupuleusement les instructions
Tu reviens nous mettres le rapport

Bonjour,
Je vous rassure je ne suis pas du tout un adepte tu 2p2, cependant il est vrai que je possède e Mule, et que... là c'est la grande question ou débat...

J'étais tranquille entrain de faire un peu de ménage, mise à jour de mes utilitaires, et j'ai lancé un scan Avast en désactivant la restauration système (erreur de ma part)ménage de printemps.

Cependant:
J'ai localisé le fichier en question et ai sauvegardé son contenu (de l'hébreu si je peu m'expliquer ainsi simple curiosité au cas ou cela peu intéressé quelqu'un) il s'installe dans les sessions sous la forme d'un dossier drivers en fichier caché dans Application data en gros il empêche l'accès à la console Windows si je comprends bien.
j'ai pu un instant voir une ribambelle de fichiers + un exe qui on disparu maintenant en me laissant ce fichier srosa2.sys qui quand on l'ouvre en .txt c'est comme je disais de l'hébreu.

Il existe des solutions, comme j'ai pu le constater mais je venais vers vous ici pour avoir votre avis, je pense qu'il est clair.

Avant toute tentative de ma part je vais sauvegarder mes données temps que j'y ai accès, et ai la possibilité comme vous l'avez compris de correspondre avec le PC portable de Madame.

Cas extrême
Je comptais de toutes façon formater mes disques durs, compte tenue que je fonctionne depuis le crash d'un disque de façon hybride me direz-vous cela tombe bien, pas forcément, si je sauvegarde mes données sur un disque externe compte tenue de la situation suis-je en mesure de contaminé ce disque externe, il n'a jamais été connecter sur mon PC il est rutilant neuf?

Papy40 a écrit:Bonjour

Ouvres le registre ==> Démarrer/ Exécuter/ écris regedit et valides par OK.

Vas sur HKEY Local Machine > system > CurrentControlSet > Services > Ndisuio

Dans cette clé il y a une entrée nommée "START", double clique dessus. Cette entrée doit être 3 pour que le protocole NDIS E/S demarre correctement.

Un virus comme "bagle" change cette entrée et la met sur 4 (disable) et empêche ta connexion.

Redémarres et tu devrais retrouver ta connexion.

Installes et exécutes Malwarebytes' Anti-Malware en suivant scrupuleusement les instructions
Tu reviens nous mettres le rapport

Bonjour Claude,
Je vais suivre tes indications,
Cependant je n'ai plus accès au mode sans échec non plus, donc je fait l'analyse Malwarebytes' Anti-Malware en mode Administrateur simple.

Hello,
Srosa2.sys est un des fichiers infectés et installés par Bagle.
Ce malware est en réalité un ver informatique,
Sa première action est d'infecter un fichier sain du démarrage : après une lecture du registre, il supprimera la clé safeboot qui permet le démarrage en mode sans échec. Il neutralise aussi le fonctionnement de l'antivirus et du pare-feu, et empêche leur réinstallation.

Vous pouvez commencer par réparer l'accès au mode sans échec, en téléchargeant l'utilitaire suivant:
http://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe,

ou l'un de ces fichiers *.reg (selon votre version de Windows).
http://www.assistepc.com/forum/reparer-le-mode-sans-echec-de-windows-vt867.html

Bonjour,

Saint Martin a écrit:Hello,
Srosa2.sys est un des fichiers infectés et installés par Bagle.
Ce malware est en réalité un ver informatique,

Faut-il le supprimer manuellement?

Non,
Suivez la procédure de Malwarebytes en mode "sans échec" comme Claude vous là demandé.

Bonjour,
Image scan Spybot

Ne vous dispersez pas !!! personne ne vous a demandé de faire un scan avec Spybot !!!
Malwarebytes est bien plus efficace pour ce genre d'infection.
topic111.html

Saint Martin a écrit:Ne vous dispersez pas !!! personne ne vous a demandé de faire un scan avec Spybot !!!
Malwarebytes est bien plus efficace pour ce genre d'infection.
topic111.html

Je vous reçoit 5/5, mais j'avais déjà lancé le scan de Spybot en attendant votre intervention que j'ai laissé aller à son terme, cependant mais
cela n'est que de ma propre observation, je n'avais rien détecter avec mal Malwarebytes hier alors qur Spybot oui, sais on jamais ce n'étais que pour information.
actuellement mon système est en analyse je vous tiens au courant.

Hors sujet que pensez-vous de Quad-Cleaner?

Bonne soirée

Bonsoir,
Faire un scan avec Spybot n'est pas une mauvaise idée mais je préfère procéder d'une façon différente surtout pour ce genre d'infection.
Avez-vous réussi à récupérer le mode "sans échec" ?

Hors sujet que pensez-vous de Quad-Cleaner?

Je ne connais pas ce "Cleaner" mais comme les autres outils de nettoyage à utiliser avec précaution
Après une courte recherche sur le Net, QUAD CLEANER est une arnaque, c'est un rogue, à fuire comme la peste !!!!!!

!	"Saint Martin":
	Nous vous proposons sur le forum tout un choix d'outils testés et éprouvés. Ils sont à votre disposition, faites votre choix.

Bonjour,

Voici le résultat du scan demandé par Claude:
Malwarebytes' Anti-Malware 1.30

Bonjour,

Saint Martin a écrit:Après une courte recherche sur le Net, QUAD CLEANER est une arnaque, c'est un rogue, à fuire comme la peste !!!!!!

Nous parlons bien de cela?

Bull51 a écrit: Nous parlons bien de cela?

Oui !!!

http://forum.malekal.com/viewtopic.php?f=36&t=18987&start=0

Nous reparlerons de QUAD-CLEANER après avoir résolu votre problème.

*************************************************************************************

Avant de commencer le nettoyage, veuillez lire ceci :
SI vous avez téléchargé un crack, vous devez supprimer l'application crackée...( ou les applications )
En effet, si vous réexecutez l'application (ou si celle-ci se lance au démarrage, par exemple comme le font les antivirus), l'application crackée va réinstaller Bagle, vous allez donc être de nouveau infecté et nous perdrons notre temps à essayer de résoudre votre problème.
*******************************************************************************************************************************************

Nous allons utiliser FINDYKILL

- Installation de FindyKill
Vous pouvez télécharger FindyKill depuis ce lien :http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
Placez l'icône d'installation sur le bureau
Double-cliquez sur l'icône FindyKill.exe
Après l'installation
Cliquez sur le bouton Quitter pour fermer le programme d'installation de FindyKill

- Utilisation de FindyKill
Une nouvelle icone est alors crée sur le bureau qui permet de démarrer le programme. Double-cliquez dessus.
Le programme se lance...
Vous arrivez alors sur le menu principal de FindyKill
Recherche
- Option 1
Sur le menu principal, tapez sur la touche 1 du clavier puis validez par entrée.
Le menu Démarrer et les icônes vont disparaitrent, c'est normal.
La recherche s'effectue, cela peut prendre plusieurs minutes, ne touchez à rien.
Une fois l'analyse terminé, un rapport de scan vous est proposé... appuyez sur une touche pour ouvrir ce rapport.
vous pouvez copier/coller ce rapport pour cela :
Cliquez sur le menu Edition puis Sélectionner tout.
Cliquez à nouveau sur le menu Edition puis coller.
Dans votre sujet sur le forum, créez un nouveau message puis clic droit / coller dans le message afin de coller le rapport

Saint Martin a écrit:Nous reparlerons de QUAD-CLEANER après avoir résolu votre problème.

Tout à fait je reprends le fil.

Pour information, je sais que je ne suis pas tiré d'affaire, cependant j'ai récupéré ma connexion merci Claude.
J'ai localisé le fichier ou ce qui me semble suspect, dans Application data - drivers...
J'ai supprimé les fichiers (tout) dans eMule
Avast est de nouveau actif mais uniquement dans ma session admin
J'ai pu réactivé Avast depuis Panneau de configuration - Ajout suppression de programme - Modifier - Change et semble fonctionner uniquement dans la sessions Admin il est désactive en session utilisateur? mais cela reste très aléatoire...

je sais que je ne suis pas tiré d'affaire

Non car Beagle n'est pas le plus facile à supprimer !!!
Maintenant vous pouvez utiliser FINDYKILL et suivez la procédure.

Résultat du rapport de scan FindyKill


############################## [ FindyKill V4.728 ]


################## [ ! Fin du rapport # FindyKill V4.728 ! ]

OK.
- Option 2 - Nettoyage
Le nettoyage supprime l'infection du système.
Pour lancer le nettoyage via FindyKill, relancez le programme.
Dans le menu principal, tapez 2 puis validez par entrée.
Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.
Le nettoyage va prendre quelques minutes... Appuez sur OK sur la fenêtre d'informations.
Le fix peux avoir besoin de redémarrer l'ordinateur, un message vous en averti, vous devez appuyer sur une touche.
Au redémarrage, le fix se relance... laissez l'opération s'effectuer.
Un rapport de nettoyage vous est proposé... appuyez sur une touche pour ouvrir ce rapport.
vous pouvez copier/coller ce rapport pour cela :
(Vous connaissez la manoeuvre)
Cliquez sur le menu Edition puis Sélectionner tout.
Cliquez à nouveau sur le menu Edition puis coller.
Dans votre sujet sur le forum, créez un nouveau message puis clic droit / coller dans le message afin de coller le rapport.
- Si tout va bien, Bagle devrait être supprimé de votre ordinateur.(il est parfois nécessaire de renouveler la désinfection 2 voir 3 fois)
- Réinstallez votre antivirus, (si nécessaire)
- Si vous obtenez des erreurs win32 sur certains fichiers, ces derniers ont été endommagés par Bagle, vous devez les retélécharger.
- Si tout vous semble redevenu normal, vous pourrez désinstaller FindyKill : option 3 sur le menu.
- N'oubliez pas de supprimer vos anciens points de restauration et de créer un nouveau => http://www.thesiteoueb.net/modules/wffaq/article.php?t=515

Bonsoir.

Bonjour,
Rapport

############################## [ FindyKill V4.728 ]


################## [ ! End of Report # FindyKill V4.728 ! ]

J'ai effectué deux passages.

Merci beaucoup

Bonjour,
Bien content pour vous si votre infection a été éradiquée.
- N'oubliez pas de marquer [Résolu] dans le titre de votre 1er post.

Pour QUAD-CLEANER, voici des liens pour vous informer sur les faux "Nettoyeurs" et "alertes" que vous pouvez recevoir :
- http://forum.malekal.com/viewtopic.php?f=56&t=589#p29389
- http://forum.malekal.com/viewtopic.php?f=33&t=3129
- http://forum.malekal.com/viewtopic.php?f=56&t=7139
- http://forum.malekal.com/ftopic3412.php

Un petit rappel: La sécurité c'est vous qui la faites et non votre antivirus.

Bonjour,
Suite à une infection et l'éradication de celui-ci avec vos conseils, avec l'outil FindyKill, cependant et malgré tout je suis toujours confronté a un problème, HijackThis n'est pas une application valide win32 ?

Sujet réouvert et fusion du dernier message.

Hello,
Dans mon intervention du 06 Mai: 00h03 :

Si vous obtenez des erreurs win32 sur certains fichiers, ces derniers ont été endommagés par Bagle, vous devez les retélécharger.

Ce n'est pas votre infection qui est réapparue, mais les conséquences de celle ci.

Il vous faut donc réinstaller fichiers et logiciels (ici HijackThis) endommagés par Bagle.

Bonjour,
Dans l'état actuel je rencontre des problèmes avec mes navigateurs Mozilla Firefox et Internet Explorer avec perturbation de ma connexion!

Va t-il être nécessaire d'effectuer une réinstallation pour chacune des applications suivantes...faisant suite a
Rapport

############################## [ FindyKill V4.728 ]


Pouvons-nous commenter ceci?
Merci

Bonjour,
Malheureusemnt pour vous, vous allez être obligé de réinstaller les fichiers infectés par BAGLE. (c'est une vraie vérole)

[ Corrupted files # Re-Installation required ] ( [Fichiers corrompus # Re-installation necessaire] )

D:\Documents and Settings\All Users\Documents\LOGICIELS\HIJACK THIS HijackThisâ„¢\HiJackThis.exe
D:\Program Files\Alwil Software\Avast4\copyx64.exe
D:\Program Files\ArcSoft\PhotoStudio 2000\Web\register.exe
D:\Program Files\Logitech\Desktop Messenger\8876480\6.1.4.36-8876480L\Program\register.exe
D:\Program Files\Mozilla Firefox\uninstall\helper.exe
D:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
D:\Program Files\MSN\MSNCoreFiles\update.exe
D:\Program Files\Spybot - Search & Destroy\blindman.exe
D:\Program Files\Spybot - Search & Destroy\Update.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
D:\Program Files\Unlocker\UnlockerAssistant.exe
Etc..

Bon courage.

Bonjour,

Saint Martin a écrit:Bonjour,
Malheureusemnt pour vous, vous allez être obligé de réinstaller les fichiers infectés par BAGLE. (c'est une vraie vérole)
Bon courage.

Comme vous dite, cependant il doit rester quelques traces mais ou , exemple en me connectant et principalement avec Firefox Mozilla, et malgré une relance de Firefox Setup 3.0.9, le navigateur ne démarre pas franchement alors que ma connexion réseau est active et une alerte du pare feu s'active
La conexion par elle même n'est pas stable
C'est la seule anomalie que je relève le reste est stable pour le moment...
C'est mieux avec Internet Explorer

D’où ma question suffit t’il de relancer, le setup ou de désinstallé et de réinstallé ensuite

Bonjour,
- 1) Téléchargez la dernière version de Firefox Mozilla (pour être sûr d'avoir une version saine)
- 2) Désinstallez Firefox. ( en utilisant Revo Uninstaller => topic77.html )
- 3) Réinstallez en utilisant la dernière version téléchargée.