retour du Trojan Downloader.Bat.Ftp.gen-3

[Opus3]

Bonjour, après une première déinfection la semaine dernière me voici à nouveau en présence de ce Trojan. Que faire pour m'en prémunir?? Voici le rapport de clam win/

 

Scan started: Wed Sep 20 12:30:05 2006

 

ERROR: Can't open file E:/pagefile.sys

E:/WINDOWS/system32/cmd.ftp: Trojan.Downloader.Bat.Ftp.gen-3 FOUND

ERROR: Can't open file E:/hiberfil.sys

 

-- summary --

Known viruses: 69032

Engine version: 0.88.4

Scanned directories: 3937

Scanned files: 39113

Infected files: 1

Data scanned: 9596.42 MB

Time: 28302.567 sec (471 m 42 s)

[bruce lee]

Bonjour Opus3,

 

Commence par appliquer cette procédure préliminaire. Un membre de l'Espace sécurité, un junior ou moi-même s'occupera alors de toi :

 

J'attire ton attention sur le paramétrage d'Antivir qui est important, sur le placement et le renommage de Hijackthis.exe

 

 

Phase 1

• Fais un copier-coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion; ou sauvegarde cette page via ton navigateur pour conserver la mise en page (Fichier>Enregistrer sous)
   
   
  
• Télécharge Antivir
   
   
  
• Installe Antivir : Il est impératif de le configurer correctement afin de faire la meilleure analyse possible,
  consulte le tuto suivant (imprime la ou sauvegarde la comme indiqué plus haut) => Tutoriel de tesgaz
   
   
  
• Rends-toi à l'étape: Configuration du tutoriel de tesgaz. Dans ce paragraphe , seule la partie suivante nous intéresse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives". Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".
   
   
  
• Si tu désires conserver Antivir une fois la procédure de prénettoyage terminée (parce que tu n'as pas d'antivirus par exemple), il te faudra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente !

  Précisions importantes -> le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure a reposé sur les critères suivants :
  - failles de ton antivirus qui a laissé passer des malwares
  - Antivir peut-être installé et désinstallé facilement
  - Antivir est reconnu pour son efficacité en mode sans échec
  - le tutorial de tesgaz permet de le paramétrer sans problème.

   
  
• Télécharge la dernière version d'HijackThis ici ou ici (en cas d'indisponibilité!)
  

Phase 2

• Redémarre le PC, impérativement en mode sans échec.
   
   
  
• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur [Entrée].
  NB : en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec=>
  Comment démarrer l'ordinateur en mode sans échec
   
   
  
• A l'ouverture de session, choisis la session courante (ta session habituelle) et non celle de l'administrateur.
  

 

Phase 3

• Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide.
   
   
  
• Cette fonction cleanmgr génére parfois un bug sous système Windows 2000.
   
   
  
• Affiche tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>
  -Active la case : "Afficher les fichiers et dossiers cachés"
  -Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
  -Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
  -Puis clique sur "Appliquer".
  Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.
   
   
  
• Complète le nettoyage cleanmgr par un nettoyage succint manuel => suppression de tous les fichiers contenus dans les dossiers :
  -C:\TEMP
  -C:\WINDOWS\TEMP
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temp
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
  -Vider la corbeille
   
   
  
• Recherche et élimination des parasites avec Antivir=>
  lance une analyse complète du, ou des disques dur, et supprime tous les fichiers infectés (s'ils existent)
  Sauvegarde le rapport!
   
   
  
• Désinstallation d'Antivir(si tu ne souhaites pas le conserver)=> termine les processus suivants dans le gestionnaire des tâches (fais Ctrl+Alt+Suppr pour ouvrir la fenêtre puis clique sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE
  Puis, désinstalle Antivir dans ajout/suppression de programmes.
   
   
  
• Redémarre le PC en mode normal
   
   
  
• Installation et utilisation d'HijackThis=>
  Crée un nouveau dossier à la racine de ton disque dur :
  C:\Program Files\HijackThis
  Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"; nomme le "HijackThis".
  Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom); crée un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
   
   
  
• Arrête tous les programmes en cours et ferme toutes les fenêtres
   
   
  
• Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile"
   
   
  
• Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
   
   
  
• NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.
  

Phase 4

• Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir.
  
• Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses
  

 

 

[auteur de la méthode : Megataupe / New canned par Charles Ingals / + Modifications perso]

 

Bon courage

[Opus3]

Merci pour ses indications de procédure. Je m'en occupe et signalke dés que possible la suite. Je viens de faire un scan avec Spybot et voici un extrait des problèmes rencontrés entre autres avecPhotoshop et l'explorateur. Je ne sais pas si vousq pourrez en faire quelque chose.

ACDSee 5.0: Folder history (Valeur du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\ACD Systems\ACDSee\50\HistPaths

 

ACDSee 5.0: Last opened folder (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\ACD Systems\ACDSee\50\OpenFolder!=

 

Adobe Photoshop 7.0: Last used folder (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Adobe\Photoshop\7.0\VisitedDirs\STARTUPIMAGEDIRECTORY!=

 

Adobe Save For Web 3.0: Last save folder (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Adobe\Save For Web 3.0\Preferences\SaveDir\tlfd!=

 

Internet Explorer: Typed URL list (1 fichiers) (Clé du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Microsoft\Internet Explorer\TypedURLs

 

MS Media Player: Anonymous ID (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID!=B=0

 

MS Direct3D: Most recent application (Modification du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name!=

 

MS DirectDraw: Most recent application (Modification du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=

 

MS Office 9.0 (Word): Recently used file list (Valeur du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Microsoft\Office\9.0\Word\Data\Settings

 

Windows Explorer: Run history (2 fichiers) (Clé du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

 

Windows Explorer: Stream history (9 fichiers) (Clé du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

 

Windows Explorer: User Assistant history IE (6 fichiers) (Clé du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

 

Windows Explorer: User Assistant history files (54 fichiers) (Clé du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

 

Windows Explorer: Last visited history (5 fichiers) (Clé du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

 

Windows Explorer: Recent file global history (Clé du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

 

Windows Explorer: Last Copy/MoveTo folder (Valeur du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\CopyMoveTo\LastFolder

 

Windows Media SDK: Computer name (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

 

Windows Media SDK: Unique ID (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

 

Windows Media SDK: Volume serial number (Valeur du registre, nothing done)

HKEY_USERS\S-1-5-21-1606980848-1580436667-854245398-1005\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

 

Cookie: Cookie (3) (Cookie, nothing done)

 

 

Cache: Cache (182) (Cache, nothing done)

 

 

Cookie: Cookie (141) (Cookie, nothing done)

 

Merci et à bientôt.

 

Opus3

[bruce lee]

Bonjour,

 

Le rapport de spybot, ne revele apparement rien de mauvais; suis la procedure preliminaire et posts les differents rapports

 

@+