HELP URGENT : mon poste est infecté

[linuxer123]

bonjour

 

mon poste est infecté avec un trojan "2ifetri.cmd"

 

j'ai aucun antivirus ni antispywar dans mon poste ni avant l'infection ni après

 

je poste le rapport de hijackthis ici ?

 

j'ai fai un scan avec panda antivirus en ligne voici le résultat du deuxième scann

------------------------------ Detected-----------------------Disinfected 
Virus							  6							6
-----------------------------------------------------------------------------
Spyware						  36						   0  
-----------------------------------------------------------------------------

 

le scan né pas encore términé (20%) , donc peu être qu'il y'aura encore plus de détections !!!

36 detected je sais pas s'il s'agit des fichiers infecté ou bien des exe de trojan elle meme !

[pear]

Bonjour,

 

Revenez à la fin du scan.

 

Postez en le rapport et un Hijackthis.

 

* Télécharger SDFix (créé par AndyManchesta) et le sauvegarder sur le Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double cliquer sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

 

Redémarrer en mode sans échec

 

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.cmd pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

 

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Postez le rapport ici.

[linuxer123]

re

voici le rapport de sdfix :

 

 

SDFix: Version 1.147

 

Run by mypc on 26/02/2008 at 12:21

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\sdfix\SDFix

 

Checking Services :

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\WINDOWS\system32\control.ini - Deleted

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-26 12:31:48

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg40]

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]

"DisplayName"="Alcohol 120% (Trial Version)"

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Remaining Files :

 

 

File Backups: - C:\sdfix\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Fri 25 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cc102203f99c8c6ebf1523556f8411b6\BIT2.tmp"

Wed 30 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BITA.tmp"

Mon 11 Feb 2008 332 A..H. --- "C:\Documents and Settings\moderateur\Local Settings\Temp\Free Download Manager\tic2D.tmp"

 

Finished!

[pear]

Bonjour,

 

TéléchargerClean.zip de Malekal.

http://www.malekal.com/download/clean.zip << ici

 

http://mickael.barroux.free.fr/securite/clean.php << Comment l'utiliser

 

Dézipez-le sur le bureau (clic droit / extraire tout), pour obtenir un dossier clean.

Ouvre le dossier clean , et double-clic sur clean.cmd

une fenêtre noire va apparaître pendant un instant, laissez la ouverte.

Choisir l'option 1 puis patienter

Poster le rapport obtenu

 

S’il demande d’uploader un fichier, le faire.

pour retrouver le rapport : double cliquer sur => C => double cliquer sur " rapport_clean txt.

et copiez/collez le sur la prochaine réponse .

 

 

Si clean a détecté des fichiers infectieux sur votre PC (lignes avec des noms de fichiers avec marqué "FOUND" à côté), il vous permet de vous en débarasser.

 

Pour une plus grande efficacité, il est préférable de le faire en mode sans échec.

 

Ensuite relancez clean, et dans le menu de la console noire, tapez 2, puis appuyez sur la touche Entrée de votre clavier.

 

Postez les rapports Panda, Clean(les 2) et hijackthis

Modifié le 26 février 2008 par pear

[linuxer123]

Rapport clean par Malekal_morte - http://www.malekal.com

Script execute en mode sans echec 26/02/2008 a 14:03:23,76

 

Microsoft Windows XP [version 5.1.2600]

 

*** Suppression des fichiers dans C:

 

*** Suppression des fichiers dans C:\WINDOWS\

 

*** Suppression des fichiers dans C:\WINDOWS\system32

 

*** Suppression des fichiers dans C:\Program Files

 

*** Suppression des clefs du registre effectuee..

 

 

voici le rapport

 

avant ce rapport j'avais installé anivir et j'ai fai un scan , puis par defaut tout les virus detecté en quarantaine

 

la prochaine etape cé quoi?

[pear]

avant ce rapport j'avais installé anivir et j'ai fai un scan , puis par defaut tout les virus detecté en quarantaine

 

Postez le rapport.et un rapport Hijackthis

 

* Téléchargez Hijackthis de TrendMicro.

http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe

 

* Décompressez le dans un dossier à la racine du disque dur

renommer ce dossier par exemple Karcher

Sous Vista,,il faut faire clic-droit >> "Exécuter en tant qu'Administrateur" sur Hijackthis.exe sinon HJT tourne mais ne fixe rien.

* Lancer le fichier Hijackthis.exe

* Cliquer sur Do a system scan and save a log file

* Copier-coller le rapport dans un nouveau message ici

[linuxer123]

voici le rapport de anivir

 

Résolu !

-----------------------------------------------

Modifié le 3 mars 2008 par linuxer123

[linuxer123]

j'ai oublié un detail : ne faite pas attention à tout les fichiers detecté par anivir ,

Modifié le 3 mars 2008 par linuxer123

[Zonk]

j'ai oublié un detail : ne faite pas attention à tout les fichiers detecté par anivir , car certain fichiers détécté je les gardé dans mon disque dur (Bureau) pour mon usage , c'etai pas des virus ou trojan , mais c'etai des exploits pour linux , cé pas la source d'infection en tout cas

Allo Linuxer123 ...............allo pear

 

Linuxer123

Antivir pourrait être mieux paramétrer:

 

http://tutopat.hostonet.org/viewtopic.php?t=2417

 

.....surveille à bien activer la recherche de " rootkits" et "scan master boot sector"

(ces fonctions sont souvent oubliées par les gens)

 

Cherche à activer le mode "Expert" et à optimiser la recherche des menaces...

(et personnellement dans l'onglet "scanner" j'active tout les items dans

"Rootkit search" et

"Manual selection"

Aide en image message #184

Aide en image message #113

@+

Modifié le 26 février 2008 par Zonk

[pear]

Bonsoir,

 

Télécharger puis installer AVG Anti-Spyware (AVG AS)

http://www.ewido.net/en/download/

Une fois AVG AS lancé, cliquer sur "Mise à jour"

Fermer le programme.

 

Redémarrer en mode sans échec

 

Relancer AVG AS puis choisir l'onglet "Analyse"

Puis l'onglet "Paramètres

Sous la question "Comment réagir ?", cliquer sur "Actions recommandées"et choisir"Quarantaine"

Re-cliquer sur l'onglet "Analyse" puis réaliser une "Analyse complète du système"

 

/!\ Si un fichier est infecté détécté en fin d'analyse /!\

Cliquer sur "Appliquer toutes les actions "

 

Cliquer sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"

Enregistrer ce fichier texte sur le bureau.

 

Redémarrer normalement

Copier/Coller le rapport ici.

 

Et je crois que ce sera bon