Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Virus: Creation de .rar a intervalles reguliers

traveller2004
 Partager

Messages recommandés

traveller2004 Junior Member

traveller2004

Posté(e)
Posté(e)

Bonjour,

 

J'ai donc choppe un virus en downloadant un "patch" sur P2P :P

 

Un fichier "Setup+patch.exe", qui ne fonctionnait pas (Impossible de me souvenir pour quel logiciel). J'ai donc efface le ficher, scanne avec mon AV (Dr. Web) "a jour", et ai oublie le probleme.

 

Depuis ce jour la, tous les jours a une heure variable, 600 fichiers .rar de 1108k chacun sont crees automatiquement dans le repertoire ou se trouvait le fichier suppose infecte. Chacun de ces fichiers comporte un nom different de style "F-secure antivirus patch.rar", ou "programme XXX.rar", et contient le meme fichier "setup+patch.exe" de 1478656 octets.

 

L'anti-virus ne detecte rien sur ces fichiers, un scan complet du PC ne donne rien, non plus un test avec "spyware terminator".

 

Voila! Une suggestion?

 

Merci :P

Wullfk Tera Power Extrem Member

Wullfk

Posté(e)
Posté(e)

Bonjour, et bienvenue sur Zebulon.fr

 

 

une lecture de ceci, pour te faire comprendre les risques encouru par l'utilisation du P2P:

 

Sécurisation,prevention : http://forum.zebulon.fr/sujets-securisatio...es-t133909.html

 

ensuite étant donnée que tu est dans le forum Analyse rapport HisjackThis, Eradication Malwares , suit cette procédure :

 

Télécharger et installer la dernière version d'HIJACKTHIS v2.0.2:

 

Enregistrer HJTInstall.exe sur le bureau.

Double-cliquer sur HJTInstall.exe pour lancer le programme.

Par défaut, il s'installera là : C:\Program Files\Trend Micro\HijackThis

  • .

Accepter la licence en cliquant sur le bouton "I Accept".

 

Important :

Installez HijackThis dans un répertoire NON Temporaire (afin de conserver les sauvegardes qu'il fait)

 

Choisir l'option "Do a system scan and save a log file".

Cliquer sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note.

Cliquer sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport.

Coller le rapport sur ce forum.

Ne fixer encore AUCUNE ligne, cela pourrait empêcher le PC de fonctionner correctement.

 

En cas de doute, un tutoriel très bien fait :

http://www.libellules.ch/poster_log_hijackthis.php

 

@+

  • 2 mois après...
gregstar67 Junior Member

gregstar67

Posté(e)
Posté(e)

Bonjour,

j'ai le même problème, sauf que c'est au démarrage du PC qu'il créé automatiquement tous ces fichiers .rar (nero6, etc...)

Voici mon log :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:24:00, on 20/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\htpatch.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\CameraAssistant.exe

C:\WINDOWS\system32\ElkCtrl.exe

C:\WINDOWS\tppaldr.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Apache Group\Apache2\bin\Apache.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Ipas GmbH\ComBridge Studio\bin\CemiService.exe

C:\Program Files\Apache Group\Apache2\bin\Apache.exe

C:\Program Files\Ipas GmbH\ComBridge Studio\bin\CBAutoSvc.exe

C:\Program Files\Ipas GmbH\ComBridge Studio\bin\CBAutoSvc.exe

C:\Program Files\Ipas GmbH\ComBridge Studio\coreV2\cbcmsv.exe

C:\Program Files\Ipas GmbH\ComBridge Studio\bin\CBMCGSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe

C:\Program Files\Hotspot Shield\bin\openvpnas.exe

C:\Program Files\Borland\InterBase\bin\ibguard.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe

C:\Program Files\Borland\InterBase\bin\ibserver.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\hijack\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe

O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect

O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background

O4 - HKCU\..\Policies\Explorer\Run: [WinUpdating] WinUpdating.exe

O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab

O16 - DPF: {6F750202-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - http://www.kodakgallery.fr/downloads/BUM/B..._2/axofupld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1041C2D7-8857-457E-A543-62E29DE451BA}: NameServer = 212.27.39.134

O17 - HKLM\System\CCS\Services\Tcpip\..\{FC9B32F8-F79C-4E27-9B87-A5185C01DE7F}: NameServer = 212.27.53.252,212.27.54.252

O17 - HKLM\System\CS1\Services\Tcpip\..\{1041C2D7-8857-457E-A543-62E29DE451BA}: NameServer = 212.27.39.134

O17 - HKLM\System\CS2\Services\Tcpip\..\{1041C2D7-8857-457E-A543-62E29DE451BA}: NameServer = 212.27.39.134

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O23 - Service: Apache2 - Apache Software Foundation - C:\Program Files\Apache Group\Apache2\bin\Apache.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: ComBridge EIBnet IP Service (CBEIBnetIPService) - IPAS GmbH - C:\Program Files\Ipas GmbH\ComBridge Studio\bin\CemiService.exe

O23 - Service: ComBridge Studio Automation Service (CBStudioAutomationService) - IPAS GmbH - C:\Program Files\Ipas GmbH\ComBridge Studio\bin\CBAutoSvc.exe

O23 - Service: ComBridge Studio Client Manager (CBStudioClientManager) - IPAS GmbH - C:\Program Files\Ipas GmbH\ComBridge Studio\bin\CBAutoSvc.exe

O23 - Service: ComBridge Studio Core Service (CBStudioCoreService) - IPAS GmbH - C:\Program Files\Ipas GmbH\ComBridge Studio\coreV2\cbcmsv.exe

O23 - Service: ComBridge Studio MCG Service (CBStudioMCGService) - IPAS GmbH - C:\Program Files\Ipas GmbH\ComBridge Studio\bin\CBMCGSvc.exe

O23 - Service: Firebird Guardian (FirebirdGuardian) - Unknown owner - C:\Program.exe (file missing)

O23 - Service: Firebird Server (FirebirdServer) - Unknown owner - C:\Program.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\openvpnas.exe

O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: Netiris Agent (Netiris) - Unknown owner - C:\Program Files\Captel\Netiris\agent.exe (file missing)

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51a\bin\mysqld-nt.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

 

--

End of file - 10539 bytes

 

 

Merci d'avance

 

Bonjour, et bienvenue sur Zebulon.fr

 

 

une lecture de ceci, pour te faire comprendre les risques encouru par l'utilisation du P2P:

 

Sécurisation,prevention : http://forum.zebulon.fr/sujets-securisatio...es-t133909.html

 

ensuite étant donnée que tu est dans le forum Analyse rapport HisjackThis, Eradication Malwares , suit cette procédure :

 

Télécharger et installer la dernière version d'HIJACKTHIS v2.0.2:

 

Enregistrer HJTInstall.exe sur le bureau.

Double-cliquer sur HJTInstall.exe pour lancer le programme.

Par défaut, il s'installera là : C:\Program Files\Trend Micro\HijackThis

  • .

Accepter la licence en cliquant sur le bouton "I Accept".

 

Important :

Installez HijackThis dans un répertoire NON Temporaire (afin de conserver les sauvegardes qu'il fait)

 

Choisir l'option "Do a system scan and save a log file".

Cliquer sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note.

Cliquer sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport.

Coller le rapport sur ce forum.

Ne fixer encore AUCUNE ligne, cela pourrait empêcher le PC de fonctionner correctement.

 

En cas de doute, un tutoriel très bien fait :

http://www.libellules.ch/poster_log_hijackthis.php

 

@+

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonsoir,

 

gregstar67, on ne poste pas dans le sujet d'un autre demandeur! Crée ton propre sujet stp.

 

Je sais qu'il y a un certain forum où on laisse faire mais ici, cela ne se passe pas comme ça.

 

Ce topic appartient à traveller2004.

 

Voila! Une suggestion?
Oui vire le P2P de ton pc... :P

 

Si tu es sous XP:

 

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

 

Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\).

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

N.B.:

- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

- Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.

Si SDfix ne se lançait pas:

 

- Démarrer/Exécuter

- Copie/colle ceci:

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

 

-Clique sur ok, et valide.

-Redémarre et essaie de nouveau de lancer SDfix.

 

Après le reboot du pc, poste un log Hijackthis avec celui de SDFix stp.

 

Si tu es sous Vista ne tente même pas la manip avec SDFix mais poste seulement le log Hijackthis.

 

@++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...