virus trojans et piratage à l'aide

[jayeson]

up!!!

[eclypse]

Salut,

 

passe smitfraud option 2 en mode sans echec (F8 au demarrage)

fais un scan panda via internet explorer

poste les rapports + un nouveau hijackthis

 

Amicalement

 

Eclypse

[jayeson]

re,

 

Impossible de scanner avec smit ou panda car soit un message d'erreur appparait soit pour panda toutes les fenetres disparaissent en plein scan..

 

Rien de nouveau sous le soleil

[bruce lee]

Bonjour jayeson, eclypse,

 

jayeson, si tu commences la manip que je vais t'indiquée ci-bas il te faut la finir car tu es infecté par un malware qui infecte les fichiers légitimes donc il faut agir vite.

 

Supprime escan de ton PC.

 

Télécharge eScan Antivirus Toolkit ici:

 

http://www.spywareinfo.dk/download/mwav.exe

 

Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

 

Étape 2:

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

 

http://img168.imageshack.us/img168/3984/escanunzipib8.jpg

 

 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

 

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

 

Ne pas lancer le scan tout de suite !

 

Étape 3:

Redémarre en mode Sans Échec :

1) Redémarre ton ordi

2) Tapote la touche F8 immédiatement, juste après le "Bip"

3) Tu verras un écran avec options de démarrage apparaître

4) Choisi la première option : Sans Échec, et valide avec "Entrée"

5) Choisi ton compte régulier, et non Administrateur

 

 

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

 

http://img410.imageshack.us/img410/4966/mwavscanyb7.jpg

 

2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.

 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Modifié le 16 août 2007 par bruce lee

[jayeson]

re,

 

Merci bruce lee mais j'ai deja essayé cela et bien que je vienne de le réesayer on me dit la meme chose "some mwav.exe is infected by virus" donc impossible de poursuivre la desinfection.

 

Je pense que l'on a piraté ma base de registre voila pourquoi tout ce que je supprime revient au demarrage et tous les scans en ligne sont impossibles cat apres quelques minutes la page disparait.

[jayeson]

re,

 

 

J'ai finalement apres formatage pu faire le scan le escan virus toolkit

voici le rapport

file c:\SDFix\backups\backups.zip tagged as not-a-virus:Dialer.Win32.Agent.b. No Action Taken

 

rapport sdfix

 

SDFix: Version 1.98

 

Run by ali on 17/08/2007 at 06:22

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

No Trojan Files Found

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

C:\WINDOWS

No streams found.

 

C:\WINDOWS\system32

No streams found.

 

C:\WINDOWS\system32\svchost.exe

No streams found.

 

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

Remaining Files:

---------------

 

 

Files with Hidden Attributes:

 

C:\WINDOWS\DivXsm.exe.mwt

 

Finished

[bruce lee]

Re,

 

Dommage que tu es formaté...

 

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=>

 

http://cybersecurite.xooit.com/t123-Les-co...les-ActiveX.htm

 

Fais un scan en ligne avec http://webscanner.kaspersky.fr/kavwebscan.html

 

dans la nouvelle fenetre qui s'affiche clique sur J'accepte

 

On va te demander de télécharger un ou deux contôle active x, accepte . Laisse le faire les mises à jour puis quand il aura finit clique sur Suivant

 

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

 

aide en cas de problème : http://cybersecurite.xooit.com/t100-Scan-e...spersky.htm#768

 

NOTE: le scan est à faire avec Internet Explorer

[jayeson]

re,

 

j'ai preferé formater je n'avais pas vraiment le choix et avais besoin de mon ordi!!

 

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail

C:\

D:\

Statistiques de l'analyse

Total d'objets analysés 15152

Nombre de virus trouvés 4

Nombre d'objets infectés 12 / 0

Nombre d'objets suspects 0

Durée de l'analyse 00:17:36

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\ali\Application Data\Mozilla\Firefox\Profiles\dhpqemk2.default\cert8.db L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Application Data\Mozilla\Firefox\Profiles\dhpqemk2.default\formhistory.dat L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Application Data\Mozilla\Firefox\Profiles\dhpqemk2.default\history.dat L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Application Data\Mozilla\Firefox\Profiles\dhpqemk2.default\key3.db L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Application Data\Mozilla\Firefox\Profiles\dhpqemk2.default\parent.lock L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Application Data\Mozilla\Firefox\Profiles\dhpqemk2.default\search.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Application Data\Mozilla\Firefox\Profiles\dhpqemk2.default\urlclassifier2.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Microsoft\Messenger\jayesonellys@hotmail.com\SharingMetadata\Logs\Dfsr00004.log L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Microsoft\Messenger\jayesonellys@hotmail.com\SharingMetadata\pending.dat L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Microsoft\Messenger\jayesonellys@hotmail.com\SharingMetadata\Working\database_78B0_77EE_B077_B0EC\dfsr.db L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Microsoft\Messenger\jayesonellys@hotmail.com\SharingMetadata\Working\database_78B0_77EE_B077_B0EC\fsr.log L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Microsoft\Messenger\jayesonellys@hotmail.com\SharingMetadata\Working\database_78B0_77EE_B077_B0EC\fsrtmp.log L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Microsoft\Messenger\jayesonellys@hotmail.com\SharingMetadata\Working\database_78B0_77EE_B077_B0EC\tmp.edb L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Microsoft\Windows Live Contacts\jayesonellys@hotmail.com\real\members.stg L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Microsoft\Windows Live Contacts\jayesonellys@hotmail.com\shadow\members.stg L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Mozilla\Firefox\Profiles\dhpqemk2.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Mozilla\Firefox\Profiles\dhpqemk2.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Mozilla\Firefox\Profiles\dhpqemk2.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Application Data\Mozilla\Firefox\Profiles\dhpqemk2.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Historique\History.IE5\MSHist012007081720070818\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Temp\~DFC7B6.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Temp\~DFC960.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Temp\~DFD35E.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Temp\~DFD376.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\ali\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\ali\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\ali\NTUSER.DAT.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\RECYCLER\S-1-5-21-1801674531-1580436667-682003330-1003\Dc10\csrs.exe Infecté : Backdoor.Win32.PoeBot.c ignoré

C:\RECYCLER\S-1-5-21-1801674531-1580436667-682003330-1003\Dc10\gilsoh.exe L'objet est verrouillé ignoré

C:\RECYCLER\S-1-5-21-1801674531-1580436667-682003330-1003\Dc10\henblgc.exe L'objet est verrouillé ignoré

C:\RECYCLER\S-1-5-21-1801674531-1580436667-682003330-1003\Dc10\ncj.exe Infecté : Backdoor.Win32.SdBot.bhk ignoré

C:\RECYCLER\S-1-5-21-1801674531-1580436667-682003330-1003\Dc10\nhf.exe.mwt Infecté : Backdoor.Win32.SdBot.bhk ignoré

C:\RECYCLER\S-1-5-21-1801674531-1580436667-682003330-1003\Dc10\zxhyvqiq.exe Infecté : Trojan-Dropper.Win32.Sramler.e ignoré

C:\RECYCLER\S-1-5-21-1801674531-1580436667-682003330-1003\Dc11\DivXsm.exe Infecté : Backdoor.Win32.SdBot.bhk ignoré

C:\RECYCLER\S-1-5-21-1801674531-1580436667-682003330-1003\Dc11\DivXsm.exe.mwt Infecté : Backdoor.Win32.SdBot.bhk ignoré

C:\System Volume Information\_restore{1BC8E2B7-1D98-4C32-A78A-2A3E95776D43}\RP0\A0000001.exe.mwt Infecté : Backdoor.Win32.SdBot.bhk ignoré

C:\System Volume Information\_restore{1BC8E2B7-1D98-4C32-A78A-2A3E95776D43}\RP0\A0002002.exe.mwt Infecté : Backdoor.Win32.SdBot.bhk ignoré

C:\System Volume Information\_restore{1BC8E2B7-1D98-4C32-A78A-2A3E95776D43}\RP0\A0002003.exe.mwt Infecté : Backdoor.Win32.SdBot.bhk ignoré

C:\System Volume Information\_restore{1BC8E2B7-1D98-4C32-A78A-2A3E95776D43}\RP1\A0012064.exe Infecté : Backdoor.Win32.SdBot.bhk ignoré

C:\System Volume Information\_restore{1BC8E2B7-1D98-4C32-A78A-2A3E95776D43}\RP1\A0012075.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{1BC8E2B7-1D98-4C32-A78A-2A3E95776D43}\RP1\A0012076.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{1BC8E2B7-1D98-4C32-A78A-2A3E95776D43}\RP1\A0012077.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{1BC8E2B7-1D98-4C32-A78A-2A3E95776D43}\RP1\A0013082.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{1BC8E2B7-1D98-4C32-A78A-2A3E95776D43}\RP1\A0016108.exe Infecté : Backdoor.Win32.SdBot.bhk ignoré

C:\System Volume Information\_restore{1BC8E2B7-1D98-4C32-A78A-2A3E95776D43}\RP4\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\ALI-KC46N74Q4P0.ldb L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\ActiveScan\pskavs.dll L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\DEFAULT.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SOFTWARE.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SYSTEM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\fidbox2.dat L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\fidbox2.idx L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\i Infecté : Trojan-Downloader.BAT.Ftp.ab ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT06bf5.TMP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT06bf8.TMP L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

Modifié le 17 août 2007 par jayeson

[bruce lee]

Re,

 

Vide le contenu de ta corbeille.

 

Suis scrupuleusement les instructions de ce lien (desactive et réactive la restauration de systeme)

 

http://cybersecurite.xooit.com/t120-Desact...-du-systeme.htm

 

refais ensuite un nouveau scan en ligne avec kaspersky puis poste le rapport

 

@+