TrojanS choppés via TVAnts

[bruce lee]

Re,

 

Télécharge aussi Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "rename ou cleaning" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

[ChokingVictim]

Hello,

Malheureusement, combofix ne semble plus disponible :

 

The tool, ComboFix has been temporarily withdrawn.

 

The author discovered a rootkit infection that will intefere with ComboFix's running.

 

This will cause Combofix to be UNSAFE FOR USE on your machine.

 

Even if you manage to find a mirror for the tool, PLEASE DO NOT RUN THIS TOOL

 

Apologies for any inconvenience caused

 

 

 

Quant à F-secure, le scan est en cours, je reviens dès que c'est terminé.

 

Merci encore pour ton aide.

[ChokingVictim]

F-Secure ne semble rien trouver :

 

02/20/07 19:25:45 [info]: BlackLight Engine 1.0.55 initialized

02/20/07 19:25:45 [info]: OS: 5.1 build 2600 ()

02/20/07 19:25:45 [Note]: 7019 4

02/20/07 19:25:45 [Note]: 7005 0

02/20/07 19:25:47 [Note]: 7006 0

02/20/07 19:25:47 [Note]: 7011 268

02/20/07 19:25:47 [Note]: 7026 0

02/20/07 19:25:48 [Note]: 7026 0

02/20/07 19:25:57 [Note]: FSRAW library version 1.7.1021

02/20/07 19:30:35 [Note]: 7007 0

 

je suis partagé entre et

[bruce lee]

re,

 

Je pensais que combofix était de nouveau opérationnel.

 

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

Je te conseille d'enregistrer la page web compléte sous Internet Explorer comme ceci :

 

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. Une partie de la désinfection se déroulera en mode sans échec.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.

 

 

Telecharge aussi IEFIX.reg: http://www.spywareinfo.com/downloads/tools/IEFIX.reg

 

 

2/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

3/

Démarrer/panneau de configuration/ajout et suppression de programmes et vérifie la présence de:

 

superutilbar

ËÑË÷À¸

 

Si ces programmes sont présents désinstalle-les.

 

 

4/fais:

demarer executer services.msc repere: 18D10034

 

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

 

Execute la même manip mais avec ceux la:

 

30E1DC0E

Client IP-IPX

jsefusf

System Set Service

 

 

maintenant on va supprimer le service néfaste:

 

demarrer/executer/ cmd

 

execute cette commande qui est en citation sans le mot citation:

 

sc delete SystemSet

5/lance hijackthis en cliquant sur do a scan system only et coche ces lignes:

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kuaiso.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao123.union123.com/index.htm

R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - D:\PROGRA~1\7A99~1\tbhelper.dll

F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\Userinit.exe,rundll32.exe D:\WINDOWS\System32\winsys16_070212.dll start

O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - D:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll

O2 - BHO: ʵÓÃËÑË÷ - {6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} - D:\Program Files\superutilbar\superutilbar.dll

O2 - BHO: TBSB03263 - {EEC7E620-B32A-4E3B-B200-291660803474} - D:\PROGRA~1\7A99~1\eqiso.dll

O2 - BHO: (no name) - {F41CCF3E-06A0-7D2A-DB3B-2C90EFD23EC3} - D:\WINDOWS\System32\kjbf.dll

O3 - Toolbar: ʵÓÃËÑË÷¹¤¾ßÌõ2.0 - {03465FF5-00AE-411a-9C34-960ED566EC03} - D:\Program Files\superutilbar\superutilbar.dll

O3 - Toolbar: ??? - {33E640D8-EB95-4B22-B475-1852B7D35993} - D:\Program Files\ËÑË÷À¸\eqiso.dll

O4 - HKCU\..\Run: [services32] D:\Program Files\Fichiers communs\Windows\mc-110-12-0000120.exe

O4 - HKCU\..\Run: [Dajenomp] "D:\Program Files\Common Files\?ssembly\w?wexec.exe" 99001122

O20 - Winlogon Notify: ssldr - ssldr32.dll (file missing)

O20 - Winlogon Notify: winsys2freg - D:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

6/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

 

Décocher la case : Masquer les extensions des fichiers dont le type est connu

 

Décocher la case : Masquer les fichiers protégés du système d'exploitation

 

cliquer sur "Appliquer"

 

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

7/Supprime ce qui est en gras:

 

D:\WINDOWS\System32\ winsys16_070212.dll<== le fichier

D:\WINDOWS\System32\ kjbf.dll<== le fichier

D:\Documents and Settings\All Users\Documents\Settings\ winsys2f.dll<== le fichier

D:\Program Files\Fichiers communs\Windows\ mc-110-12-0000120.exe<== le fichier

D:\Documents and Settings\All Users\Application Data\Microsoft\ PCTools<== tout le dossier

D:\Program Files\ superutilbar<== tout le dossier

D:\Program Files\ ËÑË÷À¸<== tout le dossier

D:\Pprogram Files\ 7A99<== tout le dossier

D:\Program Files\Common Files\ ?ssembly<== tout le dossier

 

8/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

9/[*]En mode sans échec, fais un clic droit sur le fichier SDFix.zip et choisis extraire tout,

[*]Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

[*]Appuie sur Y pour commencer le script.

[*]Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.

[*]Appuie sur une touche pour redémarrer le PC.

[*]Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

[*]Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

[*]Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

[*]Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

 

9/double clique dessus sur IEFIX.REG puis clique sur yes

 

10/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis.

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

[ChokingVictim]

Merci Bruce Lee, je n'ai pas eu le temps de faire tout ça hier mais j'essaierai ce soir en rentrant et te ferai part du résultat.

[c3d28]

Euh je viens d'avoir le même Problème j'hesite à ouvrir un autre topic pour ne pas gener le topic mais c'est exactement le même forum pff !!!

J'ai commencer par utiliser SMitfraud :

 

Voici le rapport

 

SmitFraudFix v2.144

 

Rapport fait à 22:32:55,09, 27/02/2007

Executé à partir de D:\Documents and Settings\Lenquette\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est FAT32

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32

 

D:\WINDOWS\system32\svchosts.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Lenquette

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Lenquette\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\LENQUE~1\FAVORIS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[Thanos]

salut,

 

j'hesite à ouvrir un autre topic pour ne pas gener le topic

c3d28, c'est exactement ce qu'il faut faire! On ne traite qu'un seul cas par topic pour que ce soit compréhensible.

Aussi ouvre un nouveau sujet, et colle ton rapport ainsi qu'un rapport hijackthis stp >

 

Télécharger la dernière version d'HijackThis

• Installation et utilisation d'HijackThis:
  
• Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
   
  
• Arrêter tous les programmes en cours et fermer toutes les fenêtres
   
  
• Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
  
• NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.
  
• Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans ta prochaine réponse.
  

[c3d28]

Pas de problème je fais cela tout de suite merci !