trojan agent abd [Résolu]

[matoumat]

Salut !

 

Pour commencer , je tiens à dire que c'est fantastique de savoir qu'il y a des gens pour qui l'entraide et le partage sont de rigueur ..... merci à tous pour tout le boulot effectué et pour celui qui vient....

 

Voila , après un scan en ligne sur le site d'ewido on m'a signalé deux troyens à peu près similaires dans leur dénomination:

-"trojan agent abd" dans " C:\Program Files\Alcohol 120\star_syn_client.dll

-"trojan agent abd" dans " C:\Program Files\Alcohol 120\STAR_SYN_CLIENT.dll.BAK

 

Avez vous déjà entendu parler de ces petites bêtes ?

 

Sinon, mon PC tourne correctement donc pas d'angoisse pour le moment ..... je ne suis pas une urgence

 

@+.

Modifié le 19 juillet 2007 par matoumat

[WawaSeb]

Bonsoir matoumat,

 

*** Bienvenue sur ce super forum francophone dédié à la sécurité ! ***

 

 

1) Télécharge HijackThis ici : http://download.hijackthis.eu/hijackthis_199.zip

---> Décompresse l'archive dans un dossier dédié

---> Lance le programme en cliquant sur l'icône avec la dynamite

---> Choisis l'option "Do A System Scan And Save A Log File"

---> Copie-colle le rapport sur ce forum

 

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

 

 

2) Supprime les fichiers suivants :

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

• C:\Program Files\Alcohol 120\star_syn_client.dll
  
• C:\Program Files\Alcohol 120\STAR_SYN_CLIENT.dll.BAK
  

 

3) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles !

 

- Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

• Windows Temp
  
• Current User Temp
  
• All Users Temp
  
• Cookies
  
• Temporary Internet Files
  
• Prefetch
  
• Java Cache
  
• Recycle Bin
  

- Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

 

4) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Au cas où tu utilises Internet Explorer 7 : Si tu as des problèmes avec le bouton pour accepter la license, clique sur l'outil Zoom sur le bord droit de la fenêtre de Windows et règle-le à 75 %. Une fois que la license est acceptée, remets-le sur 100 %

 

 

Bon travail à toi !

Modifié le 16 juillet 2007 par WawaSeb

[matoumat]

Salut WawaSeb ! merci de ta réponse si rapide !

 

voici le log HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 13:05:26, on 16/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Microsoft LifeCam\MSCamS32.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\oodag.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\UltraVNC\WinVNC.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ESET\nod32kui.exe

C:\WINDOWS\vVX3000.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\program files\voipdiscount.com\voipdiscount\voipdiscount.exe

C:\WINDOWS\system32\ctfmon.exe

D:\logiciels\capture d'écran\SnapKey_v2.0.2.1.exe

C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\Program Files\Winamp\Winamp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\PROGRA~1\DAP\dapbho.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nod32] C:\Program Files\ESET\nod32kui.exe

O4 - HKLM\..\Run: [sygate] C:\Program Files\Sygate\SPF\Smc.exe

O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP

O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"

O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [VoipDiscount] "C:\program files\voipdiscount.com\voipdiscount\voipdiscount.exe" -nosplash -minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [snapKey_v2.0.2.1] D:\logiciels\capture d'écran\SnapKey_v2.0.2.1.exe

O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe

O4 - HKCU\..\Run: [Gaim] C:\Program Files\Gaim\gaim.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote K - IE 7.htm (HKCU)

O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote D - IE 7.htm (HKCU)

O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote G - IE 7.htm (HKCU)

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.choupette.org/nawak

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1183771544359

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1183771511765

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppD...ap/DigWXMSN.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8A27147C-74FB-4350-BDBE-F8871550C9F9}: NameServer = 192.168.0.2

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Freenet 0.7 darknet-8888 (freenet-darknet-8888) - Unknown owner - C:\Program Files\Freenet\bin\wrapper-windows-x86-32.exe" -s "C:\Program Files\Freenet\wrapper.conf (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe" -service (file missing)

 

j'ai supprimé les deux fichiers ! petite question: est-ce que Alcohol va continuer à fonctionner normalement sans ces dll.

 

j'ai lancé ATF cleaner, mais sans virer les cookies: je nettoie régulièrement ceux d'IE ( que j'utilise trés peu) et firefox est bien configuré à ce niveau là il me semble (je voulais garder mes cookies autorisés) , si ça pose un problème, je les effacerais......

 

j'attends maintenant le rapport kaspersky que je posterais dés qu'il est près !

 

@+

[matoumat]

et voici le rapport kaspersky:

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Monday, July 16, 2007 4:44:58 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 16/07/2007

Enregistrements dans la base antivirus Kaspersky : 340279

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Poste de travail:

A:\

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

K:\

L:\

P:\

Q:\

R:\

S:\

 

Statistiques de l'analyse:

Total d'objets analysés: 83336

Nombre de virus trouvés: 1

Nombre d'objets infectés: 3 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 03:17:07

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\Jikan\Application Data\Mozilla\Firefox\Profiles\fz7jqcav.default\cert8.db L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Application Data\Mozilla\Firefox\Profiles\fz7jqcav.default\history.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Application Data\Mozilla\Firefox\Profiles\fz7jqcav.default\key3.db L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Application Data\Mozilla\Firefox\Profiles\fz7jqcav.default\parent.lock L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Application Data\Mozilla\Firefox\Profiles\fz7jqcav.default\search.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Application Data\Mozilla\Firefox\Profiles\fz7jqcav.default\urlclassifier2.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Local Settings\Application Data\Mozilla\Firefox\Profiles\fz7jqcav.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Local Settings\Application Data\Mozilla\Firefox\Profiles\fz7jqcav.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Local Settings\Application Data\Mozilla\Firefox\Profiles\fz7jqcav.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Local Settings\Application Data\Mozilla\Firefox\Profiles\fz7jqcav.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Local Settings\Temp\Perflib_Perfdata_37c.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Local Settings\Temp\~DFF88.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Local Settings\Temp\~ROMFN_00000C88 L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Jikan\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2007-07-16.09-42-48.log L'objet est verrouillé ignoré

C:\Program Files\ESET\cache\CACHE.NDB L'objet est verrouillé ignoré

C:\Program Files\ESET\logs\virlog.dat L'objet est verrouillé ignoré

C:\Program Files\ESET\logs\warnlog.dat L'objet est verrouillé ignoré

C:\Program Files\Sygate\SPF\debug.log L'objet est verrouillé ignoré

C:\Program Files\Sygate\SPF\rawlog.log L'objet est verrouillé ignoré

C:\Program Files\Sygate\SPF\seclog.log L'objet est verrouillé ignoré

C:\Program Files\Sygate\SPF\syslog.log L'objet est verrouillé ignoré

C:\Program Files\Sygate\SPF\tralog.log L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\EventCache\{7CC3DE4B-0835-4A5A-BE4F-FE5BB1353CC3}.bin L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\EventCache\{F5D2B806-A3CC-4BC0-8428-DDA1B3959FAA}.bin L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

D:\logiciels\Sonic Foundry\Sound Forge 7.0 + Keygen.ace/Sonic Foundry 042004 All Products Keygen.ace/crack.exe Infecté : Trojan-Spy.Win32.Briss.j ignoré

D:\logiciels\Sonic Foundry\Sound Forge 7.0 + Keygen.ace/Sonic Foundry 042004 All Products Keygen.ace Infecté : Trojan-Spy.Win32.Briss.j ignoré

D:\logiciels\Sonic Foundry\Sound Forge 7.0 + Keygen.ace ACE: infecté - 2 ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

 

Analyse terminée.

 

voilà.

[WawaSeb]

Bonsoir matoumat,

 

*** Tu as déjà bien travaillé ! ***

 

# Suis scrupuleusement cette procédure jusqu'au bout, quoiqu'il arrive ; si quelque chose te semble trop difficile, n'hésite pas à poser des questions, nous sommes là pour t'aider !

# Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse...

 

 

1) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes :

• Désinstalle (si présent) Party Poker
  ----> Ce programme vient avec certaines infections et en amène probablement d'autres... Je te conseille vivement de le désinstaller !
   
   
  
• Désinstalle (si présent) Download Accelerator Plus
  ----> Il est ultra-controversé du côté des experts, je te recommande de le désinstaller aussi !
  

 

2) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) :

 

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\PROGRA~1\DAP\dapbho.dll <-- Si tu suis mes conseils (lié à DAP)

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

 

O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP <-- Si tu suis mes conseils (lié à DAP)

 

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker.exe (file missing)

 

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker.exe (file missing)

 

 

3) Supprime le fichier et les dossiers suivants (si présents) :

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

• C:\Program Files\Download Accelerator Plus\ <-- Tout le dossier
  
• C:\Program Files\PartyPoker\ <-- Tout le dossier
  
• D:\logiciels\Sonic Foundry\Sound Forge 7.0 + Keygen.ace <-- Le fichier
  

------------> ATTENTION, les cracks ne sont rentables que parce qu'ils infectent ta machine !!! Je te renvoie à ce très bon article de tesgaz : A lire !

 

 

4) Note en ce qui concerne Boonty :

 

"Il se peut que nous partageons aussi des informations payantes avec des tiers

qui fournissent ds services payants et partage des données regroupées montrant le type

et le nombre de jeux videos que vous téléchargez, votre age, votre sexe, vos occupations,

niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,

internet et intérêts pour les jeux videos, activités et entrainement des jeux édités.

De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails

qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."

--> Voil

à

ce que tu accepte

s

en jouant avec leur

s

jeux !

-->

S

i comme moi, tu n'e

s

pa

s

d'accord avec cette politique :

--> Clique sur Démarrer, puis sur Exécuter

• Tape cmd.exe et appuie sur Entrée
  
• Tape ensuite exactement les commandes suivantes :
  
• sc stop "Boonty Games"
  
• sc delete "Boonty Games"
  

Note : Si tu y rejoues, le service se ré-installera !

 

 

5) Dernières questions / informations :

 

C:\Program Files\UltraVNC\WinVNC.exe

--> Est-ce toi qui as installé UltraVNC ? En as-tu encore une utilité ?

 

 

est-ce que Alcohol va continuer à fonctionner normalement sans ces dll.

--> Normalement oui, mais c'est à toi de me le dire...

 

 

# Comment se porte ta machine ?

# As-tu encore des problèmes ?

 

Bonne

s

oir

é

e

à

toi !

[matoumat]

Salut wawa !

 

j'ai bien désinstallé DAP, je le savais controversé mais..... je vais suivre tes conseils et trouvé un accélérateur /gestionnaire de téléchargement freeware.

 

pour Party Poker, ce doit être de vielles traces car aucun signes sur mon Disque.

 

j'ai bien fixé les lignes que tu m'avais indiqué sur mon scan Hijack suivant.

 

j'ai aussi supprimé les répertoires dans programfiles ainsi que le programme et son keygen infecté, l'article de tesgaz est ma foi digne d'intérêt , c'est vrai que je penche du côté des logiciels libres mais dés fois la tentation est grande ! les cracks,patchs et keygen sont-ils aussi systématiquement infectés qu'il le dit ?????

 

Pour boonty aussi c'est une vielle affaire, cela vient d'un cd avec un pack de centaine de jeux offert avec un magazine à la con (genre pirate hack astuce pc .... j'étais plus que novice à cette période) donc j'ai effectué les commandes pour stopper et supprimer le service !

 

 

Ultra VNC n'est normalement plus installé sur ce pc, mais il y a encore un fichier Winvnc.exe dans programefiles/UltraVNC ........ je le supprime ??? (En fait je viens d'essayer de le supprimer et windows m'envoi un message d'erreur:"impossible de supprimer winvnc.exe:accès refusé ; vérifiez que le disque n'est pas plein ou protégé en écriture, et que le fichier n'est pas utilisé actuellement" ---> effectivement il y a le processus winvnc.exe en cours utilisé par SYSTEM .....)

 

Je n'ai pas encore testé si alcohol fonctionne tjs sans ces merveilleuses dll, je te le ferais savoir par mp si cela t'intéresse....

 

Voilà ! Je pense que mon pc se porte bien mais j'ai une ou deux dernières petites questions, si c'est pas trop ....

 

existe t-il une méthode pour contrôler la légitimité des processus en cours ??, j'en ai quand même une quarantaine en moyenne .... (je n'ai aucune idée de la norme...)

 

et puis en fait , j'avais qu'un seule dernière question......voilà

 

encore un grand merci à toi et à toute l'équipe !!!! :P :P

Modifié le 18 juillet 2007 par matoumat

[WawaSeb]

Bonjour matoumat,

 

*** Je suis ravi de lire que tu n'as plus de problème !!! ***

 

 

les cracks,patchs et keygen sont-ils aussi systématiquement infectés qu'il le dit ?????

--> Systématiquement n'est pas le mot que j'utiliserais...

--> Je peux en tous cas t'affirmer que pour tester et étudier les virus et leurs modes d'infections, ce type de patchs s'avèrent être les plus efficaces !

 

 

Ultra VNC n'est normalement plus installé sur ce pc

--> Il n'est plus visible dans l'Ajout / Suppression de Programmes ???

 

 

existe t-il une méthode pour contrôler la légitimité des processus en cours ??, j'en ai quand même une quarantaine en moyenne ....

--> Dans ton rapport HijackThis, je n'en vois q'une vingtaine, tous légitimes !!!

--> Par contre, ils ne sont sans doute pas tous nécessaires !

--> Pour le vérifier, je t'encourage à poster dans la partie Optimisation du forum

 

 

 

# Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir...

1. Télécharge la dernière version de Java Runtime Environment (JRE) 6.
   
2. Descends sur la page jusqu'à "Java Runtime Environment (JRE) 6u2, The Java SE Runtime Environment (JRE) allows end-users to run Java applications".
   
3. Clique sur "Download", à droite
   
4. Coche la case et accepte la license
   
5. La page se recharge
   
6. Clique sur le lien pour télécharger l'installation hors ligne [Windows] et enregistre le fichier sur ton bureau
   
7. Ferme tous tes programmes (surtout les navigateurs Internet)
   
8. Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA
   
9. Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)".
   
10. Clique sur le bouton "modifier / supprimer"
    
11. Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA
    
12. Redémarre ta machine
    
13. Après le reboot, clique sur jre-6u2-windows-i586-p.exe pour installer la nouvelle version... suis les instructions à l'écran
    

Bonne fin de nuit à toi !

[matoumat]

Ami du soir, bonsoir !

 

*j'ai donc remis à jour Java, je n'avais en tout et pour tout qu'une seule ligne à desinstaller: java version 5 update 6.

 

*Ultra VNC n'est pas lisible dans la liste ajout/supression de programme, mais il y a dés le démarrage du pc un processus en route nommé winvnc.exe avec l'utilisateur SYSTEM dans le gestionnaire de tâches.(Ulta vnc date d'il y a environ deux ans, quand un ami avait mis en réseau ce pc et celui de ma copine)

 

*A propos de processus , au démarrage du pc je vois bien 38 processus dans ce même gestionnaire de tâches.

--> Dans ton rapport HijackThis, je n'en vois q'une vingtaine, tous légitimes !!!

 

Merci pour le renvoi à la section "optimisation" de zebulon, j'y passerais certainement de longues soirées....

 

Te souhaitant une bonne soirée, je cours à la section optimisation !

 

[WawaSeb]

Bonjour matoumat,

 

*** Excuse-moi de te répondre si tard... j'ai eu des "obligations"...

 

 

Ultra VNC n'est pas lisible dans la liste ajout/supression de programme

--> Comme le programme n'est plus installé, il vaut mieux arrêter le service qui lui est lié :

 

 

# Désactive le service devenu inutile de VNC Server :

 

Clique sur "démarrer" -> "Exécuter" -> tape sans les guillemets "services.msc" (+OK), clique sur l'onglet "étendu" (en bas à gauche), puis avec le bouton droit sur "VNC Server (winvnc)" (propriétés, général, type de démarrage : DESACTIVE)

 

--> Comment fonctionne ta machine ?

--> Alcohol tourne-t-il toujours correctement ?

 

 

Je suis ravi d'avoir pu t'aider...

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

1) Voici une liste de recommandations personnelles pour éviter de te faire infecter :

1. Garde une version de Windows légale et à jour
   
2. Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections)
   
3. Evite les sites douteux, illégaux, pornographiques, ...
   
4. Méfie-toi des programmes gratuits (financés par...)
   
5. Fuis le Peer To Peer (Kazaa, Bearshare, ...)
   
6. Garde un Antivirus à jour !
   
7. Ne clique jamais sur des liens non annoncés dans une messagerie instantannée
   
8. N'ouvre jamais de pièce jointe non prévue dans un mail !
   

2) Tu peux dénoncer ton infection :

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

********************************************************************************

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

canned de Malekal_morte : http://www.malekal.com/

 

 

Plus d'info sur le topic d'Ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

3) Tu peux également éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets)

 

#

Ouvre ton premier po

s

t

#

Clique

s

ur le bouton

Editer

--->

Edition compl

è

te

#

Ajoute [R

é

s

olu] au titre de ton

s

ujet

 

En espérant de tout coeur que tu ne te feras plus infecter...

[matoumat]

Voilà !!!

 

plus de troyen, plus de VNC, boonty et cie...... c'est reparti comme en quarante !!!

 

Alcohol à l'air de fonctionner nickel sans ses dll !

 

Encore merci et j'espère ne pas vous revoir de sitôt (sur cette section bien sûr...) :P

 

Ci@oo et bonnes continuations !!!