[Résolu] Installation Firefox

[BaK]

Bonjour,

 

Je tente d'installer Firefox 2.0.0.11 sur un XP SP2.

 

Lorsque je double clique sur Firefox Setup 2.0.0.11.exe, la jauge d'extraction apparaît, les % avancent, mais après quelques secondes j'obtiens le message suivant: "Can not open output file".

 

En parcourant le net, certaines personnes avec le même problème avaientt un rootkit dans leur système!

 

J'ai alors installé AVG anti rootkit free, et il m'a bien trouvé des trucs!

 

J'ai donc tout sélectionné et demandé à AVG de les supprimer. Mais après reboot de la machine, je rescan et tout est de nouveau là!

 

Modifié le 31 janvier 2008 par BaK

[Chrisredfield32]

Salut,

 

-Tu as fait un scan ad-aware , spybot et ton antivirus?

Si c'est pas le cas, fait-le!

 

Si sa marche pas, la seul solutions c'est mode sans echec en lancent AvG Anti-Rootkit free!

 

Si sa marche pas, tu utilise HijackThis et colle ton rapport dans une nouvelle rubriques dans la securité==>Rapport HijackThis en expliquant ton cas! Les gars de la securité vont d'aidé

Modifié le 20 janvier 2008 par Chrisredfield32

[Thanos]

salut @ vous deux

 

Malheureusement, ni ad-aware, ni spybot ne parviendront à éliminer cette infection.

Le mode sans échec ne fonctionnera certainement pas non plus parce qu'il aura été endommagé!...une belle cochonerie!

 

BaK, effectue le scan suivant >

 

1) Télécharge ELIBAGLA en bas de cette page > http://www.zonavirus.com/datos/descargas/95/elibagla.asp

• Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place le sur le bureau.
   
  
• Double-clique dessus pour l'ouvrir.
   
  
• Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\
   
  
• Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
   
  
• Clique sur le bouton Explorar pour lancer l'analyse.
  

Poste le rapport ELIBAGLA stp.Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt

 

2) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

1. Enregistre HJTInstall.exe sur ton bureau
   
2. Double-clique sur HJTInstall.exe pour lancer le programme
   
3. Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
   
4. Accepte la license en cliquant sur le bouton "I Accept"
   
5. Choisis l'option "Do a system scan and save a log file"
   
6. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
   
7. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
   
8. Colle le rapport que tu viens de copier sur ce forum
   
9. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
   

Tutoriel > > http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

 

L'outil va te débarrasser de cette infection

[Chrisredfield32]

salut @ vous deux

 

Malheureusement, ni ad-aware, ni spybot ne parviendront à éliminer cette infection.

Le mode sans échec ne fonctionnera certainement pas non plus parce qu'il aura été endommagé!...une belle cochonerie!

 

Salut Charles ingals,

Vaut mieux qu'il verifie sur ad-aware et spybot si y a pas d'autres bestiol!

 

Toute facon c'est toi l'expert de la securité

[BaK]

Salut Chrisredfield32, salut charles ingals fidèle au poste,

 

Merci pour votre aide!

 

Le mode sans échec ne fonctionnera certainement pas non plus parce qu'il aura été endommagé!

C'est malheureusement exact! :/

 

Ci-dessous les 2 rapports:

 

EliBagle

	  Mon Jan 21 17:56:53 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
D:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
D:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
Restaurada Clave: "SafeBoot\Minimal y Network"

  Mon Jan 21 17:57:16 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   1177
Nº Total de Ficheros:	  14270
Nº de Ficheros Analizados: 5331
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

  Mon Jan 21 17:58:20 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

  Mon Jan 21 17:58:29 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\Program Files\Samsung\Samsung Media Studio 5\SMSTRAY.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios:   1022
Nº Total de Ficheros:	  12215
Nº de Ficheros Analizados: 5101
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  2

J'y crois pas, Samsung Media Studio 5 c'est le logiciel fournit avec mon lecteur mp3! Qu'il est obligatoire d'utiliser pour le transfert de fichiers!

 

A ce stade, j'ai relancé AVG anti rootkit. Il m'a encore trouvé 4 entrées! Seuls les 2e hldrrr.exe et srosa.sys (Hidden File) ont été supprimés et auop8pp4.SYS a été renommé en amf6jvav.SYS!

 

Par contre, si je relance Elibagla, il ne trouve que le fichier qu'il a renommé: HLDRRR.EXE.VIT

 

 

HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:34, on 21.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\MarkAny\ContentSafer\MAAgent.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.regsoft.net/purchase.php3?productid=67184
O4 - HKLM\..\Run: [SMSTray] D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [MAAgent] D:\Program Files\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [ReEXEc] F:\Transfert\Elibagla 10.89\EliBaglA.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "D:\Program Files\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

--
End of file - 2117 bytes

 

Voilà, j'ajouterai que ce PC n'est pas connecté à internet. Heureusement, on peut compter sur Samsung pour se faire infecter tout de même ...

 

Quelques question au passage:

- J'ai un dual boot sur ce PC (2 XP). Les malwares détectés sur cet OS sont-ils également dangereux sur l'autre? (Elibagla n'a rien trouvé sur l'autre OS)

- Comme j'ai un LAN, est-il dangereux pour les autres PC de communiquer avec celui qui est infecté?

 

Encore merci, j'attends les instructions pour la suite! Dire que maintenant, en plus des log à déchiffrer, faut aussi savoir l'espagnol!

[pear]

Hello Bak,

 

en plus des log à déchiffrer, faut aussi savoir l'espagnol!

 

Formidable!

 

On ne cesse pas de s'instruire, à tout âge

[BaK]

Hola Pear!

[Thanos]

salut @ vous tous:)

 

Elibagla a fonctionné...en partie!

Il a réparé le mode sans échec: tu dois donc y avoir de nouveau accès.

On va utiliser un autre outil plus puissant pour te débarrasser de ca... >

 

Télécharge combofix.exe de sUBs

• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur combofix.exe.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Tape sur la touche 1 pour démarrer le scan.
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  
• En cas de problème, tu trouveras le rapport de ComboFix ici > C:\ComboFix.txt
  

Voilà, j'ajouterai que ce PC n'est pas connecté à internet.

Oui, tu fais bien, car dans l'état le pc est très vulnérable! il n'est pas protégé par un antivirus.

Le problème avec Bagle c'est qu'il empêche l'installation de ces programmes (pare-feu/antivirus) et détruit leurs fichiers si présents.Tu pourras en mettre un dès la désinfection terminée.

Heureusement, on peut compter sur Samsung pour se faire infecter tout de même ...

Etonnant...SMSTRAY.EXE est le processus qui permet d'afficher l'icône de Samsung dans la barre des tâches! EliBagla l'a détecté comme étant le véhicule de l'infection...où as tu téléchargé le programme en question ?

C'est important car il faut s'assurer qu'il ne s'agit pas d'une mauvaise détection, et si c'est le cas, faire remonter l'info au

créateur du programme.

Quelques question au passage:

- J'ai un dual boot sur ce PC (2 XP). Les malwares détectés sur cet OS sont-ils également dangereux sur l'autre? (Elibagla n'a rien trouvé sur l'autre OS)

Non pas de souci.

- Comme j'ai un LAN, est-il dangereux pour les autres PC de communiquer avec celui qui est infecté?

ne connecte pas ce pc aux autres pour le moment même si il n'y a pas de risque à priori.

 

Attention, au démarrage tu risques de reçevoir un message te disant que le fichier SMSTRAY.EXE est absent...c'est normal!

 

@+

Modifié le 22 janvier 2008 par charles ingals

[BaK]

Il a réparé le mode sans échec: tu dois donc y avoir de nouveau accès.

Exact!

 

SMSTRAY.EXE est le processus qui permet d'afficher l'icône de Samsung dans la barre des tâches! EliBagla l'a détecté comme étant le véhicule de l'infection...où as tu téléchargé le programme en question ?

C'est important car il faut s'assurer qu'il ne s'agit pas d'une mauvaise détection, et si c'est le cas, faire remonter l'info au créateur du programme.

Hmm, j'ai dû suivre un lien de generationmp3 si je ne me trompe pas...

 

Voilà le rapport de ComboFix (je n'ai pas eu à taper sur 1 pour lancer le scan)

ComboFix 08-01-23.1 - Chris-ABIT 2008-01-22 21:29:12.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1033.18.806 [GMT 1:00]
Running from: D:\Documents and Settings\Chris-ABIT\Desktop\ComboFix.exe
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

 

J'ai ensuite relancé un ptit Elibagle -> nada!

 

Et pour finir AVG Anti Rootkit, qui me trouve à nouveau un fichier du type D:\WINDOWS\System32\Drivers\auop8pp4.SYS, mais avec d'autres lettres que auop8pp4 ...

 

 

Si ce n'est ce détail sans importance (j'espère), je dirai que mon PC est désinfecté!!!

J'ai pu installer Firefox sans le moindre souci en tout cas!

 

Charles> Peux-tu stp me confirmer que c'est bien le cas?

Merci infiniment de m'avoir pris par la main!

[Thanos]

salut

 

Bak : ComboFix a peut être bien nettoyé l'infection, mais je dois en être sûr!

Le rapport que tu as posté n'est pas le bon : tu trouveras le rapport de ComboFix ici > C:\ComboFix.txt > colle l'intégralité dans ton prochain message. Par ailleurs ComboFix ne "voit" pas tout et je dois vérifier qu'il n'y a rien d'autre ( je pense au driver dont le nom a changé !)

 

Donc on a pas encore fini^^

 

@+ tard

Modifié le 22 janvier 2008 par charles ingals