Infection par Download.trojan détecté par Pesttrap

[decybell]

ah oui j'avais une aautre question: quand je me sers de MSN, ça lance IExplorer, on peu le configurer pour lancer Firefox plutôt? ça doit être au niveau de MSN je pense... Sinon je crois que je vai conserver IE en suivant les conseil ke tu m'as donné dans un post précédant...

Ah oui aussi... Je n'arrive pas à supprimer Regclaener (utilisé par autre chose je ne sai plus quoi, ptètre bien Norton..); je voudrai tout supprimer ce qui ne me sert à rian pour réinstaller les outils au propre et tout.. etc..

 

voilou.. Bye

[tornado]

Salut decybell,

 

 

 

Je n'avais pas vu ton dernier post et je m'en excuse Désolé

 

ah oui j'avais une aautre question: quand je me sers de MSN, ça lance IExplorer, on peu le configurer pour lancer Firefox plutôt? ça doit être au niveau de MSN je pense... Sinon je crois que je vai conserver IE en suivant les conseil ke tu m'as donné dans un post précédant...

 

Il faut que tu définisses Firefox comme ton navigateur par défaut ... Normalement un message s'affiche pour le faire au lancement de Firefox.

 

Si tu parles de l'accès à ta boîte mail, ce n'est pas possible d'y accèder via Firefox.

 

 

Je n'arrive pas à supprimer Regclaener (utilisé par autre chose je ne sai plus quoi, ptètre bien Norton..); je voudrai tout supprimer ce qui ne me sert à rian pour réinstaller les outils au propre et tout.. etc..

 

Ce programme a tendance à bugger ... sans l'avoir au préalable lancer, désinstalle-le via "ajouter/supprimer des programmes" (panneau de configuration)

 

Sache que Regseeker et/ou Jv16 sont amplements suffisants pour nettoyer ta base de registre

 

 

 

 

Si après ça, tu n'as plus de problèmes, pense à clôturer ton topic en éditant ton premier post, et en ajoutant la mention [RESOLU] dans le titre du sujet.

 

 

 

A+

 

 

 

EDIT: Je viens de m'apercevoir que Regcleaner ne créé pas de valeurs dans "ajouter/supprimer des programmes"

 

Il faut te rendre dans le dossier C:\program files\regcleaner puis cliquer sur l'icone Uninstall

Modifié le 14 avril 2006 par tornado

[decybell]

Hello Tornado,

 

j'avais pas vu ton dernier message.

Juste une dernière ptite question, quand je scan avec antivir il me détecte une signature de SPR/processor.20program dans:

-System/32/process.exe

- Smitfraudfix/process.exe

- Smitfraudfix.zip

et deux autres dans System Volume Information/_restore

 

Jsé pas tro....

 

Voili voilou. Sit t'as une petite solut'

A+

 

J'ai oublier de laisser le rapport ça peut être utile..

 

 

 

Report file date: mardi 11 avril 2006 22:57

 

 

Jobname: 'Local Drives'

 

Scanning for 343586 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: bauges

Computer name: PORTABLE

 

Version informations:

AVSCAN.EXE : 7.0.0.30 536616 21/03/2006 13:48:28

AVSCAN.DLL : 7.0.0.30 40488 21/03/2006 13:48:28

LUKE.DLL : 7.0.0.30 114728 21/03/2006 13:48:28

LUKERES.DLL : 7.0.0.30 25600 21/03/2006 13:48:28

ANTIVIR0.VDF : 6.32.0.60 4323840 27/03/2006 09:11:45

ANTIVIR1.VDF : 6.34.0.11 1424384 27/03/2006 09:11:48

ANTIVIR2.VDF : 6.34.0.75 207872 27/03/2006 09:11:48

ANTIVIR3.VDF : 6.34.0.102 57856 27/03/2006 09:11:49

AVEWIN32.DLL : 7.0.0.3 1167872 28/02/2006 16:06:46

AVPREF.DLL : 6.34.0.0 38440 18/01/2006 12:06:00

AVREP.DLL : 6.34.0.100 2461736 27/03/2006 09:11:50

AVPACK32.DLL : 6.33.0.6 331816 09/01/2006 09:03:37

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 6.32.0.0 9768 27/09/2005 07:56:49

 

 

Start of the scan: mardi 11 avril 2006 22:57

 

 

Start scanning boot sectors:

 

Boot sector 'C:'

[NOTE] No virus was found!

 

Starting to scan the registry.

 

The registry was scanned ( 17 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\bauges\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\bauges\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\bauges\Bureau\antivirus\SmitfraudFix.zip

[0] Archive type: ZIP

--> SmitfraudFix/Process.exe

[DETECTION] Contains signature of the SPR/Processor.20 program

[iNFO] The file was deleted!

C:\Documents and Settings\bauges\Bureau\antivirus\SmitfraudFix\SmitfraudFix\Process.exe

[DETECTION] Contains signature of the SPR/Processor.20 program

[iNFO] A backup was created as '44ab19d3.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\Documents and Settings\bauges\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\bauges\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\System Volume Information\_restore{DE4A529F-98CE-4187-A0F7-08590C3BB5E5}\RP9\A0004369.exe

[DETECTION] Contains signature of the SPR/Processor.20 program

[iNFO] A backup was created as '446c2117.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\System Volume Information\_restore{DE4A529F-98CE-4187-A0F7-08590C3BB5E5}\RP9\A0004772.exe

[DETECTION] Contains signature of the SPR/Processor.20 program

[iNFO] A backup was created as '446c2137.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\WINDOWS\SYSTEM32\Process.exe

[DETECTION] Contains signature of the SPR/Processor.20 program

[iNFO] A backup was created as '44ab24e1.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

[WARNING] The file could not be opened!

C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\SYSTEM32\CONFIG\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\SYSTEM32\CONFIG\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE

[WARNING] The file could not be opened!

C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

[WARNING] The file could not be opened!

C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\Temp\~DFD9C3.tmp

[WARNING] The file could not be opened!

C:\WINDOWS\Temp\~DFE639.tmp

[WARNING] The file could not be opened!

 

 

End of the scan: mardi 11 avril 2006 23:52

Used time: 54:51 min

 

The scan has been done completely.

 

2949 Scanning directories

188248 Files were scanned

5 viruses and/or unwanted programs was found

5 files were deleted

0 files were repaired

4 files were moved to quarantine

0 files were renamed

3573 Archives were scanned

43 Warnings

0 Notes

 

[tornado]

Salut decybell (ça faisait longtemps ),

 

Juste une dernière ptite question, quand je scan avec antivir il me détecte une signature de SPR/processor.20program dans:

-System/32/process.exe

- Smitfraudfix/process.exe

- Smitfraudfix.zip

 

 

 

Smitfraudfix et le processus process.exe (qui fait partie de l'outil) ne sont pas infectieux, et peuvent être détéctés comme tels par certains antivirus.

 

Tu peux donc te débarasser de Smifraudfix (archive + dossier) ainsi que du fichier process.exe

 

et deux autres dans System Volume Information/_restore

 

Mouarf, j'aurais dû te faire supprimer les points de restauration depuis que la désinfection est terminée

 

Tu vas donc le faire en désactivant la restauration système, puis en la réactivant, comme indiqué dans ce tuto --> http://www.libellules.ch/desactiver_restauration.php

 

 

 

Après que cela aura été fait, refais le scan avec antivir, et événtuellement un dernier scan en ligne de panda (avec le rapport)

 

 

 

A+

[decybell]

Helo tornado!

 

ça fait un petit moment que je n'ai pas laissé de post. J'ai refait un scan avec antivir et panda (oubli de poster les rapports ) mais il n'y avait rien de particulier ...

Toujour u pti bug de Norton avec message d'erreur de Window securité sauf que maintenant Norton veut plus télécharger les mises à jour... il va bientôt être périmé je crois que je vai le gicler...

 

Je sais plus si j'en avait parlé j'avai été infecté par W32.X.Sober!mm.zip , avec laprocédure que j'ai suivi il a du être nettoyé , non?

 

En tout cas merci pour ton aide et ta dispo!!

 

 

bye

[tornado]

Salut decybell,

 

ça fait un petit moment que je n'ai pas laissé de post. J'ai refait un scan avec antivir et panda (oubli de poster les rapports icon_rolleyes.gif ) mais il n'y avait rien de particulier ...

Toujour u pti bug de Norton avec message d'erreur de Window securité sauf que maintenant Norton veut plus télécharger les mises à jour... il va bientôt être périmé je crois que je vai le gicler...

 

 

Bizarre tout ça... ce genre de désagrément est souvent dû à une infection.

 

Cela nuit à ta sécurité, et étant donné que tu es partant pour "gicler" Norton, je t'invite à faire toutes les manips qui suivent, pour :

 

- Désinstaller Norton avec une méthode spéciale, étant donné que cet antivirus s'"accroche" bien au système

- Le remplacer par un firewall et un antivirus

 

 

 

Voilà ce que que tu pourras faire précisément :

 

 

 

1/ Commence par désinstaller proprement Norton à l'aide du tuto de Tesgaz --> http://speedweb1.free.fr/frames2.php?page=divers3

 

 

 

 

2/ A présent, il est nécessaire que tu installes un vrai firewall, car celui d'xp n'est pas suffisant. En effet, il ne filtre pas en sortie, cela signifie qu'un malware ayant infecté ton pc peut se connecter au net sans problème.

Deux choix de Firewall simples à configurer, gratuits et efficaces se portent à toi :

 

- Kerio

 

- Pour le télécharger, c'est ici --> http://www.sunbelt-software.com/Kerio.cfm

- Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php

 

 

- Zonealarm

 

- Pour le télécharger, c'est ici --> http://download.zonelabs.com/bin/free/3301..._744_001_fr.exe

- Tu peux t'aider de ce tutorial --> http://speedweb1.free.fr/frames2.php?page=tuto1

Et le paramétrer également selon cet autre tuto --> http://sitanibal.free.fr/zonealarm/ZoneAlarmHelp_Online.htm

 

 

Tu retrouves sur cette page la description de ces 2 logiciels, ainsi que 2 autres Firewalls gratuits, mais un peu plus compliqués d'utilisation --> http://benoit.aun.free.fr/securite-facile-php/firewall.php

 

Je t'invite à parcourir tout le site, qui est vraiment bien fait

 

 

Après l'installation d'un de ces deux firewalls, un redémarrage est nécessaire (ça te sera demandé).

 

 

 

 

3/ Passons maintenant aux différents antivirus...

 

Il en existe 2 gratuits et dont l'efficacité est reconnue. Chacun d'entre eux s'associe plus ou moins bien avec firewall que tu as installé précédemment :

 

 

* Si tu as choisi Zonealarm, je te conseille de te tourner vers Antivir

 

- Pour le télécharger, c'est ici --> http://www.free-av.com/antivirus/allinonen.html

- Paramètre-le selon ce tutorial --> http://speedweb1.free.fr/frames2.php?page=tuto5

 

 

* Si tu as choisi Kerio, je te conseille de te tourner vers Avast!

 

- Pour le télécharger, c'est ici --> http://www.avast.com/eng/download-avast-home.html (choisis la version French )

- Paramètre-le selon ce tutorial --> http://www.pcentraide.com/lofiversion/index.php/t120.html

 

NB: Pour pouvoir utiliser le logiciel, tu dois t'enregsitrer depuis cette page --> http://www.avast.com/i_kat_207.php?lang=ENG (c'est gratuit)

 

Tu recevras par mail la clé du logiciel, que tu pourras rentrer au démarrage d'avast. Tu devras renouveler cette clé une fois par an.

 

 

Pour plus d'infos sur ces antivirus, ren-toi sur cette page --> http://benoit.aun.free.fr/securite-facile-php/antivirus.php

 

 

 

Comme pour le firewall, un redémarrage sera demandé ...

 

 

 

-----------------------------------------------------------------------------------------------------------------------------------

 

 

Je sais plus si j'en avait parlé j'avai été infecté par W32.X.Sober!mm.zip , avec laprocédure que j'ai suivi il a du être nettoyé , non?

 

 

Tu veux dire que tu as été infecté entre temps ?

 

Vérifie que le virus a totalement disparu en scannant ton pc avec ce tool --> http://securityresponse.symantec.com/avcenter/FixSbr.exe

(clique sur "Start", laisse se terminer le scan et post le rapport généré dans le même dossier que l'outil)

 

Ensuite, met moi un rapport Hijackthis (généré après désinstallation de Norton et installation av/parefeu)

 

 

 

 

 

A+

Modifié le 16 mai 2006 par tornado

[decybell]

Hello!!

 

Non j'ai été infecté avant de faire mon pré-nettoyage; d'ailleurs j'avais utilisé cet outil pour rechercher Sober mais il ne me l'avait jamais trouvé...

Mais il me semble qu'un rapport d'analyse indiquait qu'il avait été supprimé j'en suis plus sûr...

Je vai suivre tes intructions Tornado et je remets un post d'ici quelques jours!

 

Merci!