trojan horse 1.exe

[eile le n'ange]

voilà, aujourd'hui, norton m'a dit que j'avais un virus

 

trojan horse nommé C:\1.exe j'ai réussi à supprimer ce ficher en utilisant copylock, je suis en train de scanner mon ordinateur avec norton. il n'a pas encore fini, mais je me demande si en ayant supprimé 1.exe j'ai tout supprimé ou pas.

 

de plus apres l'avoir supprimé, je me suis rendue compte que plusieurs personnes parlaient de req.dll ou req.dat je l'ai cherché et je ne l'ai pas trouvé. quelqu'un peut-il m'aider ?

[Invité tesgaz]

Salut,

 

et bienvenue sur zebulon,

 

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip )

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

 

NB : en cas de problème, appliquer le Tutorial de BipBip (avec copies d'écran).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

[ipl_001]

Bonsoir eile le n'ange, tesgaz, bonsoir à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Ce que tu as indiqué est un fichier infecté, pas le nom du malware en question ! Souvent, un fichier infecté signalé par l'antivirus est l'indice de la présence de toute une infection... suis les directives de tesgaz !

Oui, nous allons t'aider !

Y a-t-il des dysfonctionnements dans ton système ? fenêtres publicitaires, page de démarrage du navigateur, etc. ?

 

req.dll et req.dat correspondent à un malware bien particulier ! Pourquoi voudrais-tu avoir celui-ci.. et pas un autre (parmi les milliers possibles) ?

[eile le n'ange]

merci de me répondre si vite, alors en ce qui concerne ces fichier, je ne sais pas ce que c'est, et je ne sais pas à quoi ça correspond, donc je cherche avec le peu d'info que j'ai :S

 

sinon je n'ai pas observé de disfonctionnements, mais j'ai voulu l'enlever avant qu'il ne se produise quoi que ce soit, des que norton m'a dit qu'il était la, j'ai cherché.

 

voila le log

 

Logfile of HijackThis v1.99.1

Scan saved at 22:56:17, on 26/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\program files\microsoft office\Office10\WINWORD.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vegddiqblukajtkw.com/8XqkDrPOgM...tWDOJHyTyS.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.foqehrkvhybnhqvisggmd.com/8XqkD...aXwvsyfUjU.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\Aprps\cxtpls.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

O2 - BHO: (no name) - {904A6D3F-8888-0357-45C6-3782D9B90F84} - C:\DOCUME~1\AMLIE~1\APPLIC~1\SURFCO~1\Hole Wipe.exe (file missing)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O2 - BHO: (no name) - {CB899899-1556-070F-13FF-2C641D6C9748} - C:\DOCUME~1\AMLIE~1\APPLIC~1\SURFCO~1\fork cake.exe

O2 - BHO: C:\WINDOWS\lbbho.dll - {E8CD5E7E-0E67-43F4-8651-087ABFE5028B} - C:\WINDOWS\lbbho.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security Professional\IAMAPP.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe

O4 - HKLM\..\Run: [Amokfacerdrtool] C:\Documents and Settings\All Users\Application Data\tons roam amok face\Flag Flap.exe

O4 - HKLM\..\Run: [p7sX3nX] avw95en.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [instant Access] rundll32.exe p2esocks_1015.dll,InstantAccess

O4 - HKCU\..\Run: [phone part] C:\DOCUME~1\AMLIE~1\APPLIC~1\DUPEAN~1\settings loud.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Album Fast Start.lnk = C:\Program Files\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROProj.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EC..._1015_FR_XP.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.8.cab

O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_FR_XP.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab

O16 - DPF: {26E8361F-BCE7-4F75-A347-98C88B418322} - http://dst.trafficsyndicate.com/Dnl/T_40/QDow.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {869518C3-FBA5-4D75-8A14-7047437E9498} (Jacques Class) - http://htmldialer.parisvoyeur.com/CABSPOLY.../Bernadette.cab

O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binaries/P2EC..._FR_pack_XP.cab

O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/DS3/DS3.cab

O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSEWC.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Professional Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\NISSERV.EXE

O23 - Service: Norton Internet Security Professional Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\NISUM.EXE

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: Norton Internet Security Professional Proxy Service (SymPxSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\SymPxSvc.exe

voilà

Modifié le 26 juin 2005 par eile le n'ange

[megataupe]

Ton PC est très infecté. Patiente un peu le temps que l'un de nos nettoyeurs te prenne en charge.

 

Bonsoir Rafiot . Que penser de ces chacals qui fournissent le poison et l'antidote?

 

Appui Website De Client De NewDotNet

 

Uninstalling NewDotNet

Il y a plusieurs procédures simples pour uninstalling NewDotNet. Ces procédures exigent de vous d'avoir l'uninstaller de NewDotNet sur votre machine.

 

1. Uninstall par l'intermédiaire d'" Add/Remove programme ".

2. Uninstall en exécutant directement le programme d'uninstall de NewDotNet sur votre ordinateur.

3. Téléchargez le programme d'uninstall de NewDotNet au disque souple (à partir de tout ordinateur) et employez cette copie pour enlever NewDotNet.

 

Chaque procédé devrait être suivi en tant que décrit (voir ci-dessous) pour assurer le déplacement approprié. Nous avons occasionnellement des cas observés où un de ces procédures doit être exécuté une deuxième fois, spécifiquement si l'enregistrement de Windows (pour quelque raison) est reconstitué après que l'uninstallation ait été accompli.

 

Svp note:

NewDotNet peut ne pas être la source de votre problème quoiqu'une compagnie de reputable puisse vous avoir dit qu'elle était. Malheureusement, il y a plusieurs compagnies fournissant l'ordinateur et l'appui d'Internet qui fournissent des informations incorrectes et parfois nuisibles. Ces compagnies conseillent parfois leurs clients que NewDotNet pose des problèmes de système, sans être certaines ceci est le cas. Si vous remplissez un quelconque de nos procédures d'uninstall et avez toujours des problèmes, entrez en contact avec svp notre département de support à la clientèle et le well soit heureux de confirmer que NewDotNet est éteint de votre système. Cependant, comme vous le savez probablement, beaucoup de choses peuvent poser des problèmes sur votre ordinateur et nous ne pourrons pas résoudre tous.

 

 

PROCÉDÉ 1 (Programmes D'Add/Remove):

 

1. Cliquetez dessus le début .

2. Cliquetez dessus les arrangements .

3. Cliquetez dessus le panneau de commande .

4. Du panneau de commande, double-déclic sur des programmes d'Add/Remove .

5. Cliquetez dessus l'étiquette d'Install/Uninstall dans la fenêtre de propriétés de programmes d'Add/Remove.

6. Localisez l'application de New.net ou les domaines de New.net et choisissez-les.

7. Cliquetez dessus le bouton d'Add/Remove.

8. Après déplacement de notre logiciel, vous pouvez être incités à recharger. Svp réinitialisation après avoir enlevé notre logiciel.

9. Si ceci n'enlève pas entièrement notre logiciel, veuillez procéder au PROCÉDÉ 2 .

 

PROCÉDÉ 2 (Uninstall de la commande dure):

 

1. Double-déclic sur mon ordinateur .

2. Double-déclic sur le C: commande.

3. le Double-déclic sur le programme classe la chemise.

4. Placez et double-déclic sur la chemise de NewDotNet. S'il n'y a aucune chemise, veuillez procéder au PROCÉDÉ 3 .

5. Placez et double-déclic sur l'uninstall exécutable; ce sera marqué uninstallX_XX.exe . (le X représente le nombre de version de l'uninstaller et vous devriez toujours employer la dernière version)

6. Après déplacement de notre logiciel, vous pouvez être incités à recharger. Svp réinitialisation après avoir enlevé notre logiciel.

7. Si ceci n'enlève pas entièrement notre logiciel, veuillez procéder au PROCÉDÉ 3 .

 

PROCÉDÉ 3 (localisez la copie de sauvegarde d'Uninstaller et d'Uninstall de la commande dure):

 

1. Double-déclic sur mon ordinateur .

2. Double-déclic sur le C: commande.

3. Double-déclic sur la chemise de Windows ou de Winnt.

4. Placez et double-déclic sur l'uninstall exécutable; ce sera marqué NDNuninstallX_XX.exe . ("X "représente le nombre de version de l'uninstaller)

5. Après déplacement de notre logiciel, vous pouvez être incités à recharger. Svp réinitialisation après avoir enlevé notre logiciel.

6. Si ceci n'enlève pas entièrement notre logiciel, veuillez procéder au PROCÉDÉ 4 .

 

PROCÉDÉ 4 (téléchargement Uninstall de New.net):

 

1. À partir d'un ordinateur qui a accès d'Internet, cliquetez dessus le lien suivant:

http://www.new.net/support/uninstall6_76.exe .

2. Téléchargez et sauvez uninstall6_76.exe à une disquette 3-½.

3. Insérez la disquette dans la commande souple de l'ordinateur du lequel doit avoir notre logiciel uninstalled.

4. Cliquetez dessus le début .

5. Cliquetez dessus la course .

6. Dans le type ouvert de fenêtre, A:\uninstall6_76.exe .

7. Cliquetez dessus le bouton CORRECT.

8. Après déplacement de notre logiciel, vous pouvez être incités à recharger. Svp réinitialisation après avoir enlevé notre logiciel.

Modifié le 26 juin 2005 par megataupe

[ipl_001]

Rebonsoir eile le n'ange, tesgaz, rebonsoir à tous,

 

Je ne vois pas tesgaz sur le forum (d'habitude, je laisse le membre qui a commencé à poster, aller au bout de la résolution du problème), alors j'y vais !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

[eile le n'ange]

euh, j'ai pas compris ton message megataupe, je dois faire quoi ?

[megataupe]

euh, j'ai pas compris ton message megataupe, je dois faire quoi ?

524930[/snapback]

 

Rien, c'était une information pour IPL et Rafiot. Attend qu'IPL te donne la marche à suivre.

[eile le n'ange]

oki je te remercie, car je lisais, et je ne comprenais rien. au passage, si vous pouvez m'expliquez comment vous faites, j'éviterai de revenir trop souvent vous embeter ici. j'ai déjà lu qu'une bonne prévention est necessaire, quand ça sera fini je ferai en sorte de tout mettre à jour bien régulièrement, ça m'evitera des mauvaises surprises comme ce soir. En tout cas merci à vous d'être là pour nous aider, pauvre novices que nous sommes .

[Noisette]

Bonsoir à tous,

 

Eille, ménage tes forces, Eile le n'ange, tu vas en avoir besoin en maudit ... pour cliqueter

Non, blague à part et indépendamment de la gravité du problème soulevé par Mégataupe, c'est la traductrice qui se paye une pinte de bon sang ce soir, "cliketi cliketa, lève la patte et puis s'en va ", version améliorée de la poule sur un mur qui picotait du pain dur. Hihihi ! Est-ce possible de laisser paraître un tel charabia sur un site ? Rien que cela me ferait déjà froncer la truffe ...