[résolu]antivirus Gold vérification d'erradication

[romain75002]

A après recherche , j'ai trouvé encore cela qui me semble pas très bon , car crée le jour et à la minute de l'attaque du malware et modifié le lendemain .

 

programme « intmonp.exe » dans le Retrouver dans le Windows\system

 

et il me reste des dossiers vides qui ont semblent il contenu des trucs de AV GOLD, est ce que je les vire ? ex : Logfiles dans Windows\system

 

Merci de vos conseils...

J'aimerais pouvoir en sécurité ( relative, je sais !) aller dans mes sites protégés

 

Rom.

[Invité Stonangel]

Bonjour, est-ce que tu peux lister les processus et donner le chemin exact?

[Thanos]

salut stonagel,ipl ,romain,tous

 

"Il n'y a pas de ligne O23 dans un rapport HJT Windows 9x !"

 

merci pour la précision ipl ,ceci explique celà!

 

Quand a la version gold98, apres recherche ,c'est bien une piratée: certaines

 

applications ont été virés et remplacés par d'autres(elles même crackées) ; mais

 

cette version a de gros problèmes de stabilité...et de gros bugs

[romain75002]

Bon j'ai dans la précipitation déjà balancé un .exe

les autres étaient dans la corbeille...j'ai tout refait ( restaurer , recopier les chemins à la main , et remis dans un dossier " a_vider_un_jour"...

 

Et si je mets les fichiers qui sont en quarantaine là dedans, je ne risque pas qu'il réinfeste mon ordinateur ???

 

Et pareil, les executables ne vont pas se mettre en route , est ce que la corbeille ne représente pas une enveloppe blindée plus sûre ( image !!!) ?

 

Je le rappelle, je ne suis pas informaticien, et plutôt manchot ( quoique fier de discuter avec vous)...

 

Voici la liste de ce qui reste ( j'ai déjà balancé pleins de truc via les antivirus, les spyware, et quelques manipulations perso... car moi, quand on me cherche, on me trouve !) : Est ce que je peux définitivement viré cela selon vous, tous ces dossiers ont été CREES dans le 1/4 d'heure de l'invasion par le malware Antivirus Gold.

 

Et je n'ai pas listé deux fois le même dossier ( il y a un "L" de différent entre Thrlexcl et Threxc).

 

Dossier awtmp dans C:\WINDOWS\TEMP

Dossier LogFiles dans C:\WINDOWS\SYSTEM

dw.log dans C:\WINDOWS\Application Data

vxcanmsx.dat dans C:\Program Files\Fichiers communs\Symantec Shared\Virus Defs\20050706.008

IE4 Error Log.txt dans C:\WINDOWS

Sites.ini dans C:\WINDOWS

Threxcl.dat dans C:\Program Files\Norton AntiVirus

Thrlexcl.dat dans C:\ Program Files\Norton AntiVirus

13155d5a dans C:\Program Files\Norton AntiVirus\Quarantine

Dfjo.lgc dans C:\WINDOWS\APPLOG

Hookdum.lgc dans C:\WINDOWS\APPLOG

Msmsgs.lgc dans C:\WINDOWS\APPLOG

Lexstart.lgc dans C:\WINDOWS\APPLOG

68734044.dll dans C:\Program Files\Norton AntiVirus\Quarantine

 

 

MERCI infiniment de votre aide, et de me conseiller sur :

1° ce que je dois balancer.

2° ce que je dois vérifier à l'aide des antivirus (norton et compagnie)

3° est ce que je peux désintaller Antivir ( j'ai déjà pas mal de truc sur le PC ) et comme je l'ai dit, j'ai un mauvais souvenir d'un Antivir qui me ralentissait le système.

4° Après tout cela, est ce que je peux aller sur un site genre banque, télépaiement...

 

Merci encore

 

Rom.

[ipl_001]

Rebonjour romain75002, Stonangel, charles ingals, rebonjour à tous,

Bon j'ai dans la précipitation déjà balancé un .exe

les autres étaient dans la corbeille...j'ai tout refait ( restaurer , recopier les chemins à la main , et remis dans un dossier " a_vider_un_jour"...

 

Et si je mets les fichiers qui sont en quarantaine là dedans, je ne risque pas qu'il réinfeste mon ordinateur ??? 

La quarantaine, tu la vides (tu supprimes les fichiers !

Je rappelle à ceux qui n'ont plus la chose en tête, qu'un virus doit être activé, chargé en mémoire d'une manière ou d'une autre pour pouvoir agir !

Il en est de même pour tout programme informatique : seuls les programmes chargés en mémoire ont acccès au processeur !

Je ne sais pas si des malwares sont capables de masquer leur présence parmi les processus (plusieurs programmes possibles pour lister) mais pour être actifs, il faut qu'ils soient activés !

Et pareil, les executables ne vont pas se mettre en route , est ce que la corbeille ne représente pas une enveloppe blindée plus sûre ( image !!!)   ?

La corbeille est susceptible -c'est le but- d'être vidée et ce n'est pas, à mon avis l'endroit idéal pour y conserver des fichiers !

Je le rappelle, je ne suis pas informaticien, et plutôt manchot ( quoique fier de discuter avec vous)...

 

Voici la liste de ce qui reste ( j'ai déjà balancé pleins de truc via les antivirus, les spyware, et quelques manipulations perso... car moi, quand on me cherche, on me trouve !) : Est ce que je peux définitivement viré cela selon vous, tous ces dossiers ont été CREES dans le 1/4 d'heure de l'invasion par le malware Antivirus Gold.

 

Et je n'ai pas listé deux fois le même dossier ( il y a un "L" de différent entre Thrlexcl et Threxc).

Autant pour moi, comme le disent les militaires ! J'ai cru bien regarder et je n'ai rien vu !

Dossier awtmp dans C:\WINDOWS\TEMP

Dossier LogFiles dans C:\WINDOWS\SYSTEM

dw.log dans C:\WINDOWS\Application Data

vxcanmsx.dat dans C:\Program Files\Fichiers communs\Symantec Shared\Virus Defs\20050706.008

IE4 Error Log.txt dans C:\WINDOWS

Sites.ini dans C:\WINDOWS

Threxcl.dat dans C:\Program Files\Norton AntiVirus

Thrlexcl.dat dans C:\ Program Files\Norton AntiVirus

13155d5a dans C:\Program Files\Norton AntiVirus\Quarantine

Dfjo.lgc dans C:\WINDOWS\APPLOG

Hookdum.lgc  dans C:\WINDOWS\APPLOG

Msmsgs.lgc dans C:\WINDOWS\APPLOG

Lexstart.lgc dans C:\WINDOWS\APPLOG

68734044.dll dans C:\Program Files\Norton AntiVirus\Quarantine

MERCI infiniment de votre aide, et de me conseiller sur :

1° ce que je dois balancer.

2° ce que je dois vérifier à l'aide des antivirus (norton et compagnie)

3° est ce que je peux désintaller Antivir ( j'ai déjà pas mal de truc sur le PC ) et comme je l'ai dit, j'ai un mauvais souvenir d'un Antivir qui me ralentissait le système.

4° Après tout cela, est ce que je peux aller sur un site genre banque, télépaiement...

 

Merci encore

 

Rom.

La quarantaine, tu la vides de préférence avec le programme en charge de la quarantaine (NAV)

Les dossiers de fichiers temporaires, tu les vides

Pour tous les autres fichiers :

Lorsque tu as de hésitations, je te conseille de copier les fichiers dans un répertoire "_ASupprimer" avant de les effacer (crée aussi un fichier texte listant l'emplacement de chaque fichier). Ainsi, tu pourras les remettre en place en cas de problème ou les supprimer définitivement dans 2 semaines !

Nous allons rechercher fichier par fichier, pour déterminer si le Web peut nous apporter des renseignements déterminants !

[romain75002]

Merci, je vais agir dans le sens indiqué.

Mais je reste attentif au reste, merci de prendre les renseignements

 

Rom.

[ipl_001]

Re,

 

dw.log peut être plein de choses... une piste...

 

Company    Hitachi

Model    cdr-7730

Operating System    Windows 98SE (Note: might work with other versions of this os.)

Date Submitted    May 15, 2004

Location    This file is located on DriverGuide.com

File    dw.log

(source : http://www.cdrom-drivers.com/drivers/142/142020.htm )

 

Model  cdr-7730

Manufacturer  Hitachi

Device Type  cd_dvd

Operating Systems  Win98SE

File Name  dw.log

File Size  337 bytes

Uploader Notes  None.

(source : http://members.driverguide.com/driver/deta...driverid=142020 )

[ipl_001]

Re,

 

Sites.ini peut avoir divers usages... quelques pistes...

 

Mets le contenu de Sites.ini dans un prochain post !

 

Trojan.Pepop

(source : http://securityresponse.symantec.com/avcen...ojan.pepop.html )

Etudie les éléments fournis :

technical details

 

Once downloaded, Trojan.Pepop performs the following actions:

 

  1. Drops the following files:

 

          * %Windir%\popuper.exe (A copy of the Trojan.)

          * %Windir%\sites.ini

          * %System%\intmonp.exe

 

            Notes:

          * %Windir% is a variable that refers to the Windows installation folder. By default, this is C:\Windows or C:\Winnt.

          * %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

          * %System%\intmonp.exe monitors the Trojan and restarts it if it is terminated.

 

  2. Adds the value:

 

      "notepad2.exe" = "popuper.exe"

 

      to the registry subkey:

 

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

      Policies\Explorer\Run

 

      so that it runs automatically.

 

  3. Downloads and executes adware from a URL specified in %Windir%\sites.ini.

 

 

 

F-Secure Virus Descriptions : Small.wy

(source : http://www.f-secure.com/v-descs/trdrsmwy.shtml )

Etudie les éléments fournis :

Detailed Description

 

The original file that was submitted to us is called 'codec.exe'. It is a Russian-made trojan dropper. It is now detected as 'Trojan-Dropper.Win32.Small.wy'. The dropper drops another executable file with the 'msmsgs.exe' name into Windows System folder and runs it. It also creates a startup key for the dropped file:

 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"MSN Messenger" = "%WinSysDir%\msmsgs.exe"

 

The dropped file is a trojan downloader. It is now detected as 'Trojan-Downloader.Win32.Agent.lx'. When run, it creates a new startup key for itself:

 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]

"notepad.exe" = "msmsgs.exe"

 

Also it adds itself to the SHELL= variable in the following key:

 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

 

The trojan downloader tries to inject its code into Windows Explorer and then connects to one of the following websites:

 

vnp7s.net

zxserv0.com

dumpserv.com

 

etc.

 

Plein d'autres lignes !

[ipl_001]

Re,

 

Threxcl.dat et Thrlexcl.dat

Ces fichiers ont à voir avec Norton, bien sûr (vu le dossier dans lequel sont ces fichiers)

 

Il semblerait qu'ils aient trait à Torrent... P2P !

 

-> http://www.torrentreactor.to/torrents/view_47482

 

-> http://defiant.ws/torrent_4e60081567e453eb...766ff869f4.html

 

-> http://www.torrentreactor.net/torrents/view_614

[romain75002]

Bon, j'ai un peu cherché aussi, mais non pas sur le net... car je suis monolingue ( cela ne tardera pas un jour à devenir bilingue ...ras le bol de ne pouvoir lire que le français). J'ai cherché à l'intérieur de l'ordinateur le moment des "intrusions".

 

J'ai donc associé des infos via "Rechercher" et "norton antivirus ".

Norton est riche de renseignement avec les rapports :

J'ai donc par deux fois été infesté ( vu les horaires et les jours)

 

par différents troyens qui sont allés se mettre dans les dossiers Content IE 5 et Windows.

Mais cela a été vidé depuis belle lurette ou nettoyer un à un...en comparant les heures de création et l'invasion.

 

Et surtout Norton précise bien que Hookdump et dfjo était des "saloperies" .( Avis aux amateurs. ). Parceque Norton avait précisé l'existence, avait dit que c'était supprimé...mais ce n' était pas vrai !!!

Alors d'après les horaires et les noms dans le rapport j'ai vérifié un à un que les Trojans n'étaient plus là où ils étaient allés se fourrer.

Il n'empêche que pour Hookdump, j'ai eu bien du mal à l'erradiquer ( heureusement que Killbox m'a aidé), et que pour dfjo aucun forum où j'ai regardé (5 ou 6 mais le votre est vraiment un des meilleurs ) n'en parlait et que je l'ai viré manuellement !

 

Ce que je voudrais savoir, c'est que vous me parler d'aller faire un tour sur le web via des liens hypertext... mais concrètement, est ce que je peux "flinguer" ces fichiers en attente de destruction. Merci de votre réponse.

 

Rom.