Posté le: 24 Aoû 2008 23:08 Sujet du message: infection par malware et trojan
Bonjour, suite à l'ouverture d'un site, j'ai reçu un pop-up que j'ai fermé. A la fermeture du Pop-up mo fond d'écran a changé et m'a affiché une alerte d'infection de virus.
j'ai eu ce même problème récemment sur mon ancien ordi (mort depuis -_-)
impossible de faire une analyse, ni avec kaspersky, ni hijackthis, ni panda car il est impossible d'accéder aux pages d'antivirus ou de scan en ligne (autrement internet marche à peu près malgré une certaine lenteur)
jai lancé un scan avec avast :
j'ai obtenu un écran bleu avec ces inscriptions :
Citation:
Appuyez echap pour sauter l'analyse
Fichier de rapport C: \Program Files\Alwil Software\Avast4\DATA\report\aswBoot.txt
analyse de tous les lecteurs locaux
Fichier c:\Documents and settings\Propriétaire\Local settings\Temp\.tt1.tmp.vbs est infecté par VBS:Malware-gen
Appuyez 1 Pour supprimer
2 supprimer tout
3 déplacer
4 déplacer tout
5 mettre en quarantaine
6 mettre tout en quarantaine
7 réparer
8 réparer tout
9 ignorer
0 ignorer tout
Echap quitter :
J'ai choisis de mettre le fichier en quarantaine par sécurité : 3 fichiers on té mis en quarantaine
le deuxieme fichier mis en quarantaine est : c:\Documents and settings\Propriétaire\Local settings\Temp\.tt2
le troisième fichier mis en quarantaine est : c:\Documents and settings\Propriétaire\Local settings\Temp\.tt7c6.tmp.vps
Un quatrième fichier a été trouvé avec un trojan : Fichier c\:windows système32\tdssserf.dll est infecté par win32:Trojan-gen{other}
Je l'ai aussi mit en quarantaine.
un cinquième fichier, lui aussi infecté par un trojan :
c\:windows système32\trz11.tmp est infecté par win32:trojan-gen {other} (egalement mit en quarantaine
j'ai retenté une analyse par hijackthis ou kaspersky mais je l'arrive toujours pas à acceder aux pages.
Or en ce moment je tente une analyse avec malwarbyte.
Et si vous n'êtes pas capable de lancer l'installation d'un programme.
1) Sauvegarder vos données personnelles.
_________________________________
Aller dans C:\Windows\system32\drivers\etc et ouvrer avec le bloc-note--> (tout les programmes --> Accessoire) le fichier HOSTS.
Supprimer sont contenu.
et copier / coller y la ligne suivante :
127.0.0.1 localhost
Sauvegarder le fichier.
_________________________________
Essayer, pour vos téléchargement ou lancement/installation de programme,
de redémarrer en mode sans échec avec prise en charge du réseau.
(appuyer à répétition sur F8 ou F5 sitôt après l'apparition du logo du Bios.)
Pour HijackThis avec lequel vous dîtes avoir des problème, essayez de faire un scan.
Essayer en le renommant genre dfgdgf.exe
Les fichiers que votre antivirus a trouvé sont des infections, supprimer lès.
Il proviennent soit de :
Bitdownload, BitGrabber, BitRoll, BitTorrent Fastest Tool, divocodec,
DivoPlayer, DomPlayer, Download Plugin, Get-Torrent, KitPlayer,
NetPumper, Plugindl, TorrentQ, TorrentSoftware, Torrent101, Winzix,
3wPlayer
go-astro - Instant Access - InternetGameBox - GoRecord - HotTVPlayer -
Live Player - MailSkinner - Messenger Skinner - sudoplanet - Webmediaplayer.
Si vous avez un de ces répertoires (précédent) sur votre disque dur,
supprimez le. (si problème, essayer en mode sans échec)
_________________________________
Si vous avez un CD d'installation "original" de windows.
Démarrez dessus et essayer un sfc /scannow
(ce qui devrait rétablir temporairement les choses)
_________________________________
Si vous avez toujours des problèmes et
si vous avez un Windows XP..
Aller dans Démarrer--> Exécuter..., entrer regedit et valider.
Chercher --> HKEY_CLASSES_ROOT\.exe
>>> ( c'est en premier )
Vérifiez que la valeur "fenêtre de droite" --> (valeur par défaut ) est : exefile sinon changez la pour exefile en double cliquant dessus !
Et ré-essayer de lancer HijackThis.
Si ça ne fonctionne pas....
Faite une sauvegarde du registre avec ERUNT ou Regedit--(-> aller dans démarrer--> Exécuter..., entrer regedit et valider. Ensuite vérifier dans l'éditeur de Registre, que le Poste de travail est sélectionné et apuyer sur Fichier --> Exporter et sauvegarder le registre sur votre bureau).
Bonjour, j'ai réussi à faire un rapport HijackThis de la session infectée.
Je précise que je n'écris pas depuis le pc infecté mais depuis mon mac.
Je précise aussi que j'ai suivis les instructions d'un autre forum qui m'a conseillé de faire des rapports drWeb : j'arrive à faire des scans rapides, où il me trouve des fichiers infectés qu'il supprime automatiquement.
On m'a aussi conseillé de faire un rapport combofix, mais totalement impossible de le lancer, même en le renomant. Il ouvre un message d'erreur indiuant qu'il a toruvé un rootkit, il redemarre l'ordi et ne lance pas de scan.
Il me semble avoir tout dit.
Voilà le rapport, et encore merci pour votre réponse.
[color=darkred]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14:46, on 26/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Qui est possiblement arrivée avec ceci:
C:\Program Files\Shareaza\Shareaza.exe
Y en a t-il d'autre, pas de trace pour tout de suite.
_______________________________
Relancer HijackThis,
Appuyer sur [Do a system scan only],
Cocher (à gauche) les lignes suivantes et appuyer sur [Fix Checked] pour les supprimer.
(les autres objets ne sont pas nécessaires au démarrage et prennent en ressources inutilement)
Téléchargez OTMoveIt2 (de Old_Timer) sur votre Bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
Double-cliquez sur OTMoveIt.exe pour le lancer.
Assurez vous que la case "Unregister Dll's and Ocx's" soit bien cochée !
Copiez / collez la ligne suivante (en rouge) dans la fenêtre de gauche de OTMoveIt nommé "Paste List of Files/Folders to be moved".
C:\WINDOWS\system32\lphcvmaj0e7ba.exe
Cliquez sur MoveIt! pour lancer la suppression.
Si OTMoveIt propose de redémarrer votre PC, acceptez.
Lorsque un résultat apparaît dans le cadre Results, cliquez sur Exit>.
Afficher le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.
_______________________________
Télécharger Malwarebytes - & - Tutoriel Malwarebytes .
Installer et mettez à jours Malwarebytes.
Redémarrer en mode sans échec (au logo du Bios appuyer à répétition sur F8 ou F5) et
lancer un scan "Complet", lorsque terminé cocher "Supprimer la sélection".
Afficher le rapport Malwarebytes et un autre rapport HijackThis.
_______________________________
Télécharger CCleaner - & - Tutoriel CCleaner .
À l'installation de CCleaner, n'installer pas la Toolbar Yahoo,
Utiliser CCleaner après chaque session sur le net, installation/désinstallation de logiciels et/ou avant de fermer le PC.
(c'est entre autre par ces fichiers temporaires qu'arrivent les infections)
Nettoyer les cookies et fichiers temporaires !
_______________________________
C[color=darkred]:\WINDOWS\system32\lphcvmaj0e7ba.exe moved successfully.
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08262008_140216[/color]
On a ensuite démarré n mode sans échec pour lancer malwarebyte mais on a uniquement obtenu un ecran noir.
On a redémarré en mode normal et lancé malwarbyte, et il a planté en plein milieu d'analyse.
/!\ Déconnectez l'internet et durant la durée de l'étape suivante, n'utilisez pas de votre PC et n'ouvrez aucun programmes. Si ComboFix a besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisser le aller..
Double-cliquer sur Combofix
Appuyer sur 1 si nécessaire
Attendre la fermeture de l’outil ( 5-10 mn ou plus si infection importante)
Afficher le rapport.
(vous pouvez aussi le trouver sur C:\Combofix.txt)
Réactiver l'antivirus.
Supprimer ensuite combofix - QooBox qui est sur le C:\
_________________________________
Relancer HijackThis et ré-afficher un rapport
_________________________________
aucun problème avec hijackthis, on a supprimé toutes les lignes indiquées.
par contre toujours impossible de demarrer comboFix ...
on a désactivé l'antivirus, fermé toutes les fenêtres ... mais toujours impossible.
OtMoveIt2 a fonctionné plutôt.
Lancer OtMoveIt2.
Assurez vous que la case "Unregister Dll's and Ocx's" soit bien cochée !
Et copier / coller y dans la fenêtre de gauche toutes ces lignes :
c:\windows\system32\tdssadw.dll
c:\windows\system32\tdssinit.dll
c:\windows\system32\tdssl.dll
c:\windows\system32\tdssservers.dat
c:\windows\system32\drivers\tdssserv.sys
ET appuyer sur MoveIt !
______________________________________
Ouvrer le Bloc-note dans le Menu Démarrer --> Tout les programmes --> Accessoire.
Copier/ coller le contenu exact "intégral" de la citation.
Sauvegarder sous FixReg.Reg
Double-cliquer sur le fichier FixReg.Reg et valider
je poste quand même le scan de combo vu qu'il a marché:
Je n'ai pas appliqué les opérations que vous m'avez indiqué ci dessus. J'attend vos indications par sécurité.
ComboFix 08-08-25.01 - PropriÈtaire 2008-08-26 19:17:40.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.293 [GMT 2:00]
Endroit: C:\Documents and Settings\PropriÈtaire\Bureau\KitoKu.exe
* CrÈation d'un nouveau point de restauration
AVERTISSEMENT - LA CONSOLE DE R…CUP…RATION N'EST PAS INSTALL…E SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\PropriÈtaire\Application Data\macromedia\Flash Player\#SharedObjects\5XP5DHY2\bin.clearspring.com
C:\Documents and Settings\PropriÈtaire\Application Data\macromedia\Flash Player\#SharedObjects\5XP5DHY2\bin.clearspring.com\clearspring.sol
C:\Documents and Settings\PropriÈtaire\Application Data\macromedia\Flash Player\#SharedObjects\5XP5DHY2\static.youku.com
C:\Documents and Settings\PropriÈtaire\Application Data\macromedia\Flash Player\#SharedObjects\5XP5DHY2\static.youku.com\v1.0.0314\v\swf\qplayer.swf\qplayer.sol
C:\Documents and Settings\PropriÈtaire\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com
C:\Documents and Settings\PropriÈtaire\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com\settings.sol
C:\Documents and Settings\PropriÈtaire\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#static.youku.com
C:\Documents and Settings\PropriÈtaire\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#static.youku.com\settings.sol
C:\Documents and Settings\PropriÈtaire\Cookies\propriÈtaire@bluestreak[2].txt
C:\Documents and Settings\PropriÈtaire\Cookies\propriÈtaire@edt02[2].txt
C:\Documents and Settings\PropriÈtaire\Cookies\propriÈtaire@serving-sys[1].txt
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\actskn43.ocx
C:\WINDOWS\system32\blphcvmaj0e7ba.scr
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\phcvmaj0e7ba.bmp
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÇlÇments vides & les ÇlÇments initiaux lÇgitimes ne sont pas listÇs
REGEDIT4
Les màj tel que Flash Player, Adobe acrobat, Quick Time, Java Sun.. sont importante.
2 à 3 fois sur 4 ces màj ont pour buts de colmater des failles de sécurités exploitées par des spy-virus.
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
