[résolu]Divers virus Java et Trojan-Downloader.Win32.IstBa

[Diggaroid]

Messieurs bonjour,

 

J'ai formater mon pc il y a deux jours et en venant surfer sur les forums sécurités de zebulon.fr j'ai décidé de faire 2 ou 3 manips de sécurités ainsi que quelque telechargements de softs liés à la sécurité et à l'optimisation.

 

A titre de curiosité j'ai fait un scan on-line de Kaspersky et je vous avout avoir été surprit du nombre et du type de virus présents sur ma machine en regardant le rapport (scan sur tous mes disks) !

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Thursday, September 22, 2005 19:42:49

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version: 5.0.67.0

Kaspersky Anti-Virus database last update: 22/09/2005

Kaspersky Anti-Virus database records: 141610

-------------------------------------------------------------------------------

 

Scan Settings:

Scan using the following antivirus database: standard

Scan Archives: true

Scan Mail Bases: true

 

Scan Target - My Computer:

A:\

C:\

D:\

E:\

F:\

G:\

 

Scan Statistics:

Total number of scanned objects: 29360

Number of viruses found: 8

Number of infected objects: 15

Number of suspicious objects: 0

Duration of the scan process: 2045 sec

 

Infected Object Name - Virus Name

C:\Documents and Settings\CYRIL\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-5e71478f-137f207a.zip/BlackBox.class Infected: Exploit.Java.ByteVerify

C:\Documents and Settings\CYRIL\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-5e71478f-137f207a.zip/VerifierBug.class Infected: Exploit.Java.ByteVerify

C:\Documents and Settings\CYRIL\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-5e71478f-137f207a.zip/Beyond.class Infected: Trojan-Downloader.Java.OpenConnection.aa

C:\Documents and Settings\CYRIL\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-5e71478f-137f207a.zip Infected: Trojan-Downloader.Java.OpenConnection.aa

C:\Documents and Settings\CYRIL\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count3.jar-5a411363-20a3aeea.zip/Beyond.class Infected: Exploit.Java.Bytverify

C:\Documents and Settings\CYRIL\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count3.jar-5a411363-20a3aeea.zip/BlackBox.class Infected: Exploit.Java.Bytverify

C:\Documents and Settings\CYRIL\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count3.jar-5a411363-20a3aeea.zip/VerifierBug.class Infected: Trojan.Java.ClassLoader.ai

C:\Documents and Settings\CYRIL\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count3.jar-5a411363-20a3aeea.zip Infected: Trojan.Java.ClassLoader.ai

C:\Documents and Settings\CYRIL\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv645.jar-55012ee0-6565bf4f.zip/Matrix.class Infected: Trojan-Downloader.Java.OpenStream.c

C:\Documents and Settings\CYRIL\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv645.jar-55012ee0-6565bf4f.zip/Counter.class Infected: Trojan.Java.ClassLoader.h

C:\Documents and Settings\CYRIL\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv645.jar-55012ee0-6565bf4f.zip/Parser.class Infected: Trojan.Java.ClassLoader.d

C:\Documents and Settings\CYRIL\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv645.jar-55012ee0-6565bf4f.zip Infected: Trojan.Java.ClassLoader.d

E:\System Volume Information\_restore{6C713125-B82B-4796-A3A0-10F7AA580483}\RP24\A0006599.exe/run.exe Infected: Trojan-Downloader.Win32.IstBar.is

E:\System Volume Information\_restore{6C713125-B82B-4796-A3A0-10F7AA580483}\RP24\A0006599.exe Infected: Trojan-Downloader.Win32.IstBar.is

E:\System Volume Information\_restore{6C713125-B82B-4796-A3A0-10F7AA580483}\RP24\A0006601.exe Infected: Trojan-Downloader.Win32.IstBar.is

 

Scan process completed.

 

Je ne connaissais pas du tout ces virus (virus java et Trojan-Downloader.Win32.IstBar.is) et si quelqu'un pouvait éclairer ma lanterne afin que je les fasses diparaitre ce serai sympa !

 

Cela dit il y a pas de caractere d'urgence puisque a priori mon pc fonctionne

 

Par ailleurs j'ai aussi fait un rapport Hijackthis et se serait sympa si quelqu'un pouvait m'indiquait ce que je peux supprimer.

 

Logfile of HijackThis v1.99.1

Scan saved at 20:00:05, on 22/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\F-Secure\Common\FSM32.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

d:\Program Files\F-Secure\Common\FSMA32.EXE

d:\Program Files\F-Secure\Common\FSMB32.EXE

C:\WINDOWS\system32\nvsvc32.exe

d:\Program Files\F-Secure\Common\FCH32.EXE

d:\Program Files\F-Secure\Common\FAMEH32.EXE

d:\Program Files\F-Secure\Common\FSGK32.EXE

d:\Program Files\F-Secure\Common\FNRB32.EXE

C:\WINDOWS\system32\wscntfy.exe

d:\Program Files\F-Secure\Common\FIH32.EXE

d:\Program Files\F-Secure\Anti-Virus\fsav32.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

E:\Download\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [F-Secure Manager] "d:\Program Files\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [skype] "d:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav...can_unicode.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - d:\Program Files\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - d:\Program Files\F-Secure\Common\FSAA.EXE

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - d:\Program Files\F-Secure\Common\FSMA32.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

Merci par avance ! et bien entendu mon respect eternel à Zebulon et ses membres

[BipBip07]

Salut,

Je regarde ton rapport et te dis quoi faire dans 20 mins

A+

[tiklyt]

Personnellement, je n'y voit rien d'anormal.

 

Mais je ne suis pas expert.

[BipBip07]

 

Supprimer la restauration système: ( aide visuelle ):

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

Cliquez sur OK,

redémarrer votre PC en mode sans echec (appuyer sur F8 ou F5 lors du démarrage)

 

Ensuite aller dans l’ Explorateur Windows et afficher tous les fichiers cachés:

Dans une fenêtre de l'explorateur Windows, cliquez sur le menu "Outils" et choisissez "Options des dossiers...".

Affichez l'onglet "Affichage" et sélectionnez l'option "Afficher les fichiers et dossiers cachés"

Cliquer sur « Appliquer ». Fermer la fenêtre d'options en cliquant "OK".

En image ici

 

et supprimer les fichiers ci dessous si ils sont présent :

 

C:\Documents and Settings\CYRIL\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\<-- supprimer tout le contenu du dossier

C:\temp\ <-- supprimer tout le contenu du dossier

C:\windows\temp\ <-- supprimer tout le contenu du dossier

C:\windows\Downloaded Program Files\ <-- supprimer tout le contenu du dossier

C:\Documents and settings\Tous les identifiants\application data\Sun\Java\Deployment\cache\javapi1.0\jar\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\ Tous les identifiants\Local Settings\Temporary Internet Files\ <-- supprimer tout le contenu du dossier

Fichier temporaire internet:

Démarrer/panneau de configuration/options internet

--> button supprimer cookies

--> button supprimer fichier temporaire internet

Fichiers temporaries : Démarrer/exécuter " CleanMgr "

Cocher tout sauf :

Compression des fichiers non utilisés

Fichiers catalogue d’indexation du contenu

/ OK / OUI

 

NB: pense a vider le cache internet de la console java:

démarrer > Panneau de configuration > java ("tasse a café bleu&rose") > onglet général > fichier temporaire internet > supprimer les fichier > tout cocher > OK

 

Dans l'Explorateur Windows recacher les fichiers systeme afin de ne pas faire d'erreur a l'avenir:

Retournez à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>.

 

Remettre la restauration système:

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Désélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs».

Cliquez sur Appliquer puis sur OK. Redémarre.

 

Vas dans ma signature consignes de sécurité et nettois ton PC avec Adaware, Spybot, Easycleaner(registre uniquement), et Ccleaner.

 

Faire un scan en ligne chez Ravantivirus(mettre un fausse adresse email ou une adresse hotmail):

http://www.ravantivirus.com/scan/

jusqu'à ce que "ready to scan" apparaisse

cela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg

Tu cliques ensuite sur "scan my pc" (étape 3 de l'image)

A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici

 

Ou celui la

PANDA si tu n'y arrive pas : tutorial

Modifié le 22 septembre 2005 par BipBip07

[Diggaroid]

Merci de ton aide Bipbip c'est vraiment sympa de ta part ! super bien expliqué, clair et concis et en plus je serai faire les netoyages de base et vérification tout seul la prochaine fois !!

 

voici le resultat de RAV antivirus !!

 

Scan started at 22/09/2005 20:56:54

 

Scanning memory...

Scanning boot sectors...

Scanning files...

 

Scanned

============================

Objects: 22066

Directories: 2256

Archives: 624

Size(Kb): 1192075

Infected files: 0

 

Found

============================

Viruses found: 0

Suspicious files: 0

Disinfected files: 0

Mail files: 48

 

Donc no problemo !!

[BipBip07]

Nickel propre !

 

Bon surf