Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Pour WawaSeb ou Charles Ingals_Infection Trojan Downloader.Sé

horst tappert

Par horst tappert
dans Analyses et éradication malwares

 Partager

Messages recommandés

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour horst tappert,

 

*** Avant de commencer, je voulais te remercier pour ta patience ! ***

 

 

1) Télécharge Flash Disinfector de sUBS

  • Enregistre-le sur ton bureau
  • Insère ta clef USB
  • Double-clique sur le fichier téléchargé pour le lancer

 

2) Sauvegarde ton registre avec ERUNT

  • Télécharge et installe donc le programme
  • Clique sur Erunt.exe pour enregistrer le registre dans le dossier de ton choix

Note : Pour restaurer le registre en cas de nécessité, rends-toi dans ce dossier et clique sur ERDNT.exe

 

Lance le bloc-note (Démarrer > Tous les programmes > Accessoires), copie-colles-y tout le texte en citation ci-dessous en incluant bien REGEDIT4, mais sans laisser de ligne vierge avant REGEDIT4

 

* Sauve-le sur ton bureau

* Enregistre-le sous : Fix.reg

* Dans type de fichier, tu dois avoir "tous les fichiers"

* Clique sur Enregistrer

----> L'icône de ce fichier doit ressembler à ça : regfix1.jpg

 

REGEDIT4

 

[-HKEY_USERS\S-1-5-21-790525478-220523388-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4030cd41-c4d1-11da-99ec-806d6172696f}]

Double-clique ensuite sur Fix.reg pour l'exécuter et accepte les modifications du registre !

 

 

3) Télécharge gmer (je t'envoie l'adresse en privé)

  • Déconnecte-toi d'internet si possible et ferme tous les programmes.
  • Décompresse le fichier zip, renomme gmer.exe en normgeor.exe et double-clique sur gwennig.exe
  • Clique sur l'onglet "rootkit" et ensuite sur Scan
  • Lorsque le scan est terminé, choisis "copy"
  • Ouvre le bloc-note et clique dans le menu Edition sur Coller
  • Le rapport doit alors apparaître.
  • Enregistre le fichier sur ton bureau et copie/colle son contenu ici

 

Avec tout ceci, nous devrions y voir plus clair !

Bravo pour ta persévérance...

 

:P

horst tappert Member

horst tappert

Posté(e)
  • Auteur
Posté(e)

Salut WawaSeb, :P

 

J ai essaye de suivre tes conseils a la lettre et ça a plutot bien fonctionne jusqu a l etape 3 ou comme tu dois t en douter j ai du merder :P J'ai bien dezippe gmer.exe, l ai renomme en normgeor.exe ms apres je n ai pas trouve de gwennig.exe! :P j ai quand mme continue, lance l application, clicke sur rootkit puis scan et copie le rapport en fin d analyse.

Je te l envoie malgre tout en esperant que ça t iras quand mme :

 

GMER 1.0.14.14116 - http://www.gmer.net

Rootkit scan 2008-02-10 17:09:44

Windows 5.1.2600 Service Pack 2

 

---- System - GMER 1.0.14 ----

 

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xA7B2EE60]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xA7B2B820]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0xA7B36690]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xA7B2F1F0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xA7B35480]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xA7B356B0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xA7B38CE0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xA7B2F2D0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xA7B2BEA0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xA7B376A0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xA7B372E0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xA7B351F0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xA7B379E0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xA7B2BCF0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenProcess [0xA7B34F40]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenThread [0xA7B34D60]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xA7B37CD0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xA7B2EB00]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xA7B37F80]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xA7B2F010]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xA7B2C010]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xA7B36E67]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwTerminateProcess [0xA7B358E0]

 

---- Kernel code sections - GMER 1.0.14 ----

 

.text ntkrnlpa.exe!ZwCallbackReturn + 23E4 805012B4 12 Bytes [ F0, F1, B2, A7, 80, 54, B3, ... ]

? srescan.sys Le fichier spécifié est introuvable. !

.text ntkrnlpa.exe!ZwYieldExecution + 28BC 805012B4 12 Bytes [ F0, F1, B2, A7, 80, 54, B3, ... ]

 

---- Kernel IAT/EAT - GMER 1.0.14 ----

 

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [A7B33950] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [A7B33E70] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [A7B33FD0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [A7B33AC0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [A7B33AC0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [A7B33950] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [A7B33E70] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [A7B33FD0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [A7B33950] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [A7B33FD0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [A7B33E70] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [A7B33AC0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [A7B33FD0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [A7B33E70] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [A7B33950] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [A7B33AC0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [A7B33950] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [A7B33E70] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [A7B33FD0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [A7B33950] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [A7B33AC0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [A7B33FD0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [A7B33E70] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

 

---- Devices - GMER 1.0.14 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs avg7rsw.sys (AVG Resident Shield Unload Helper/GRISOFT, s.r.o.)

 

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device usbhub.sys (Default Hub Driver for USB/Microsoft Corporation)

Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device ACPI.sys (Pilote ACPI pour NT/Microsoft Corporation)

Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

 

AttachedDevice \FileSystem\Fastfat \Fat avg7rsw.sys (AVG Resident Shield Unload Helper/GRISOFT, s.r.o.)

 

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)

Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)

Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)

Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)

Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)

Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Direct Access Component/Sonic Solutions)

 

---- Registry - GMER 1.0.14 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys�11b107a392

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys�11b107a392@0005c931d449 0x73 0x8D 0x6A 0x3C ...

Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys�11b107a392

Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys�11b107a392@0005c931d449 0x73 0x8D 0x6A 0x3C ...

 

---- EOF - GMER 1.0.14 ----

 

La reponse urge pas, alors a quand tu pourras :P

 

Bizs.

 

HT/

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir horst tappert,

 

*** Je ne vois aucun signe de rootkit ! Ta machine est peut-être saine, parce que tous les rapports sont propres, si je vois bien ! ***

 

 

J'ai bien dezippe gmer.exe, l ai renomme en normgeor.exe ms apres je n ai pas trouve de gwennig.exe!

--> Tu as bien, fait, je me suis complètement planté sur ce coup-là ! Sorry...

 

 

# Sur quels sites vois-tu des publicités ?

# Quelles sont ces réclames ?

# En vois-tu quand tu surfes sur des sites officiels et bien connus ?

 

Bonne nuit à toi !

:P

horst tappert Member

horst tappert

Posté(e)
  • Auteur
Posté(e)

Bonsoir WawaSeb, :P

 

Je n'ai que des problèmes tres ponctuels lorsque j'ouvre en mme temps mes 2 blogs sur Yahoo!360° et Vox; quel que soit le navigateur utilise j ai du mal a faire defiler les pages, ça mouline et finit par m amener a une toute autre page que celle desiree; j ai alors un encart d alerte m invitant fortement a telecharger je ne sais quelle application pour un scan anti-spy en ligne.J ai beau tout fermer, la page revient a la charge...je n ai pas ce pb si je n ouvre que l un des 2 blogs; peut-etre que c est l un des 2 sites qui n est pas propre et non ma becane...tu vois c est pas non plus dramatique en soi et c est vrai que mes scans anti-virus ou AVG AS sont propres alors je crois que je vais laisser tomber et arreter de psychoser maintenant ...qu'est-ce que t en pense? il serait peut-etre temps de laisser la place a ceux qui sont vraiment veroles,non? :P

 

En tout cas je te remercie vraiment pour toute l energie deployee a regler mes problemes; c est bien sympa a toi! :P

 

J attendrai juste que tu me confirmes que je peux mettre mon post en resolu avant de te dire salut :P

 

Bonne nuit.

 

Bizs.

 

HT/

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir horst tappert,

 

*** Honnêtement, à part un problème de conflit dans tes plugin's, je ne vois pas d'où peut provenir ton plantage ! ***

 

--> Les deux sites me semblent louches...

--> Ils utilisent plusieurs langages appelés "Web.2.0" avec du code interprêté par ton navigateur.

--> Je ne suis pas certain qu'ils soient complètement légaux... (voir mon discours de prévention !)

  • As-tu aussi des soucis sur d'autres sites (YouTube, Gmail, SkyBlog, ...) ?
  • Rencontres-tu ces problèmes lorsque tu n'ouvres qu'un des deux sites à la fois ?

--> Ta réponse me permettra d'en dire plus, ces pages affichent des fenêtres publicitaires...

 

Bonne soirée à toi !

:P

horst tappert Member

horst tappert

Posté(e)
  • Auteur
Posté(e)

Bonsoir WawaSeb, :P

 

Tout d abord c est vrai que ces encarts de telechargements anti-spy n apparaissent que si je ouvre plusieurs onglets en mme temps pour acceder a mes 2 blogs

D autre part j ai des fenetres de pubs cette fois qui s ouvrent episodiquement sur n importe quel site ( l autre soir sur GTA ou on etait alle chercher des codes pr les jeux PC des momes) sinon pas de souci sur youtube ou autre...c est assez ponctuel tu vois ms en mme temps j avais pas de souci avt d aller m amuser a telecharger des playlist sr ces 2 sites de m.... dc je voulais juste m assurer qu il n y avait pas anguille ss roche

Bref ma becane tourne bien, elle est speed, mes scans sont propres et je vais peut-etre pas faire un caca nerveux si j ai un encart qui s ouvre une fois ts les 36 du mois,non?

Maintenant je passe surtt par Firefox, j ouvre pas 36 onglets en mme temps et surtout je telecharge plus de gadgets debiles :P

Enfin voila je crois que le temps est venu de mettre mon post en resolu et te laisser te consacrer a des pbs plus epineux que le mien :P

J attends quand mme que tu me le confirmes avc un dernier post :P

 

Bonne nuit :P

 

Bizs.

 

HT/

horst tappert Member

horst tappert

Posté(e)
  • Auteur
Posté(e)

Bonsoir WawaSeb, :P

 

Dernier post pour te dire que tout va bien; ma becane se comporte bien, je n'ai plus de pubs intempestives depuis que je passe par Firefox, que je ne jongle plus sur Vox et Yahoo!360° simultanement...

 

Un retour a la norme rapide et efficace grace a ton aide precieuse, as usual :P , alors un grand grand merci pour tout :P

 

Je laisse la place a d autres, non sans regrets ... :P

 

Merci encore et a 1 de ces 4!

 

Bizs.

 

HT/

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir horst tappert,

 

*** Encore Merci pour tes mots gentils, mais... c'est toi qui a fait de l'excellent travail ! *** :P

--> Je te laisse avec quelques liens pour optimiser tes navigateurs, les sécuriser et... les alléger :

 

Voici donc quelques pages sur FireFox (en vrac) :

--> Les sources de ces liens sont fiables, mais je n'ai pas testé l'ensemble de ces astuces...

 

 

En voici plusieurs sur Internet Explorer :

--> La remarque est la même que ci-dessus ! :P

 

Passe une excellente soirée / nuit !

:P

horst tappert Member

horst tappert

Posté(e)
  • Auteur
Posté(e)

Bonsoir WawaSeb, :P

 

Tu vas me faire rougir; mais j'ai juste suivi la voix de mon maître :P

 

Merci pour toutes ces infos que je consulterai a tete reposee...je vais essayer d'en faire bon usage ms pour autant je tiens a garder quelques failles: il en faut bien si je veux revenir te croiser un peu :P

 

Bonne soirée a toi aussi et a bientôt! :P

 

Bizs.

 

HT/

  • Tonton a modifié le titre en [Résolu] Pour WawaSeb ou Charles Ingals_Infection Trojan Downloader.Sé

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...