analyse rapport Hijackthis

[Jack_Burton]

Bonjour punaises,

 

Dommage que tu n ais pas le rapport de eScan...

 

Est ce suffisant maitenant, j'ai bien fait d'aller au bout je crois? Il y a toutefois une question : Lors du premier scan j'avais quelque chose dans Windows\System32\Drivers\CDAPPPOE.sys.mwt infecté par Rootkit Win 32 Agent.ao "virus action Taken File Renamed et en voulant vérifier ce dossier, je ne peux pas l'ouvrir ?

 

Es tu sur du nom?

Scanne ce fichier avec le Virusscan de jotti puis colle moi le rapport je te prie

Modifié le 21 décembre 2005 par Jack_Burton

[punaises]

Bonjour

. Je viens de prendre connaissance de ta réponse et j'ai donc scanné ce dossier

,je te mets le rapport ci dessous . J'ai bien l'impression qu'il reste quelque chose .Ton avis ?

Salutations

 

J'ai oublié de mettre le rapport .

 

File: CDAPPPOE.SYS.mwt

Status: INFECTED/MALWARE

MD5 8c1b6ac2b1800d50cdc906892988f747

Packers detected: -

Scanner results

AntiVir Found Trojan/Rootkit.SMA.A

ArcaVir Found W32.RootKit.Apropos.A1

Avast Found Win32:Trojano-3087

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found Rootkit.Win32.Agent.ao (probable variant)

NOD32 Found nothing

Norman Virus Control Found nothing

UNA Found nothing

VBA32 Found Rootkit.Agent.4 (paranoid heuristics) (probable variant)

 

Salutations.

[Jack_Burton]

Re bonjour,

 

1/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

2/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

3/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-Windows\System32\Drivers\CDAPPPOE.sys.mwt

 

4/ Redémarre en mode normal

 

5/ As tu toujours des dysfonctionnements?

[punaises]

Suite ,

Je suis passé en mode sans échecs et même en cochant où décochant les accés aux dossiers ,je ne peux ouvrir ce dossier CDAPPPOE.sys.mwt ? J'ai la réponse Windows ne peut ouvrir ce dossier. Voulez vous consulter le web etc etc...

Pendant que j'étais en mode sans échecs ,j'ai refait un scan avec ta méthode ,la case "virus log information "

est cette fois vide.

Tu sais depuis assez longtemps,je n'ai plus de dysfonctionnements les 2 pages qui s'affichaient intempestivement "ebay"et une autre qui me demandait de scanner le disque avec un logiciel dont j'ai oublié le nom n'apparaissent plus.

Puis je considérer que mon problème est traité ? Question: Pourquoi lors d'intrusion de trojans où autres ne passe t'on pas directement à ta dernière méthode qui parait sans nul doute terriblement efficace. Le scan est un peu long c'est vrai mais les résultats sont là .

AMICALES SALUTATIONS

[Jack_Burton]

Bonsoir,

 

e suis passé en mode sans échecs et même en cochant où décochant les accés aux dossiers ,je ne peux ouvrir ce dossier CDAPPPOE.sys.mwt ? J'ai la réponse Windows ne peut ouvrir ce dossier. Voulez vous consulter le web etc etc...

 

Télécharge Killbox

 

Ferme toutes les applications en cour et Lance killbox.exe

Lance le et copie/colle le chemin du fichier dans la fenetre :

C:\WINDOWS\System32\Drivers\CDAPPPOE.sys.mwt

Coche l'option "delete on reboot" et clic sur "Kill files"

Ton ordinateur va redémarrer, c'est normal.

 

Tu sais depuis assez longtemps,je n'ai plus de dysfonctionnements les 2 pages qui s'affichaient intempestivement "ebay"et une autre qui me demandait de scanner le disque avec un logiciel dont j'ai oublié le nom n'apparaissent plus.

 

Tant mieux

 

Puis je considérer que mon problème est traité ?

Une fois que CDAPPPOE.sys.mwt sera supprimé!

 

Question: Pourquoi lors d'intrusion de trojans où autres ne passe t'on pas directement à ta dernière méthode qui parait sans nul doute terriblement efficace. Le scan est un peu long c'est vrai mais les résultats sont là .

De quelle "derniere méthode" parles tu?

Modifié le 21 décembre 2005 par Jack_Burton

[punaises]

Bonjour,

Je suis maintenant avec Killbox.Si je fais un copier/coller de CDAPPPOE.sys.mwt et que supprime ce dossier, j'ai quand même une question : Ce dossier ne contient il pas des éléments nécessaires au bon fonctionnement de Windows ?

Pour ce qui est de la dernière méthode ,je pense au scan réalisé avec "mwavscan.com" qui a retrouvé 18 dossiers infectés en mode sans échecs et qui a tout supprimé où renommé pour 2 dossiers dont l'un se trouvait justement dans CDAPPPOE.sys.mwt et c'est en voulant ouvrir ce dossier pour voir quel nom ce trojan avait pris que je me suis rendu compte que windows ne pouvait pas ouvrir ce dossier.

Merci et tout à l'heure .

[Jack_Burton]

Bonjour,

 

Si je fais un copier/coller de CDAPPPOE.sys.mwt et que supprime ce dossier, j'ai quand même une question : Ce dossier ne contient il pas des éléments nécessaires au bon fonctionnement de Windows ?

 

Pour windows non! Ce dossier ce trouve dans le dossier "drivers" donc au pire, cela pourrait occasionner un probleme pour un périphérique! Mais cela ne rendra pas le systeme instable!

 

Par contre je n avais pas fait attention que c était un dossier! Je pensais que c était juste un fichier!

Pour le moment ne le supprime pas!

Nous allons pour le moment le renommer et le rendre inactif! Fais le en mode sans échec!

Renomme donc ce dossier C:\WINDOWS\System32\Drivers\CDAPPPOE.sys.mwt en CDAPPPOE.sys-mwt.anc (clic droit sur le nom du fichier / renommer).

Est ce possible?

 

,je pense au scan réalisé avec "mwavscan.com" qui a retrouvé 18 dossiers infectés en mode sans échecs et qui a tout supprimé où renommé pour 2 dossiers dont l'un se trouvait justement dans CDAPPPOE.sys.mwt et c'est en voulant ouvrir ce dossier pour voir quel nom ce trojan avait pris que je me suis rendu compte que windows ne pouvait pas ouvrir ce dossier.

eScan est a utiliser qu en dernier recours! C est un antivirus tres puissant en mode sans échec! Je le fais passer lorsqu il reste des dysfonctionnements apres une procédure de désinfection et les divers scans anti malwares classiques (Ewido, scan en ligne...)

Modifié le 22 décembre 2005 par Jack_Burton

[punaises]

C"est apparemment possible.J'ai rescanné ce dossier avec Jotti les résultats sont ci dessous.

Scanner Malware name

AntiVir SecurityPrivacyRisk/HideWindow.C.1 riskware

ArcaVir Trojan.Tool.Hidewin

Avast Win32:Hidewnd

AVG Antivirus HideWindow

BitDefender Trojan.Flood.22016

ClamAV Trojan.IRC.Flood.AQ

Dr.Web Trojan.Flood.22016

F-Prot Antivirus W32/Hidewnd.component

Fortinet W32/Hidewnd.A-tr

Kaspersky Anti-Virus not-a-virus:RiskTool.Win32.HideWindows

NOD32 Win32/HideWindow application

Norman Virus Control X

UNA X

VBA32 RiskWare.Tool.HideWindows

 

Que faut il en conclure ? Si je me rends compte qu'il y a un problème sur un périphérique,il faudra donc que je renomme ce dossier comme il était avant ?

Salutations

[Jack_Burton]

Re bonjour,

 

Ce dossier est tres louche (et inconnu sur le web!)

La plupart des antivirus indique un malware possible!

Pour le moment je ne te le fais pas supprimer (mais garde KillBox dans un coin...)

Renomme le comme indiqué sur mon post précédent!

 

Si je me rends compte qu'il y a un problème sur un périphérique,il faudra donc que je renomme ce dossier comme il était avant ?

Oui!

De toute facon, tu seras tres vite fixé s il y a un probleme ou pas!

Modifié le 22 décembre 2005 par Jack_Burton

[punaises]

OK J'ai renommé ce dossier,Voilà ce que cela donne avec Jotti

 

Service load: 0% 100%

 

File: CDAPPPOE.SYS.mwt.anc

Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5 8c1b6ac2b1800d50cdc906892988f747

Packers detected: -

Scanner results

AntiVir Found Trojan/Rootkit.SMA.A

ArcaVir Found W32.RootKit.Apropos.A1

Avast Found Win32:Trojano-3087

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

Fortinet Found W32/Agent.AO!rkit

Kaspersky Anti-Virus Found Rootkit.Win32.Agent.ao (probable variant)

NOD32 Found nothing

Norman Virus Control Found nothing

UNA Found nothing

VBA32 Found Rootkit.Agent.4 (paranoid heuristics) (probable variant)