Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

suite a une trop grande confiance en moi...j'ai etais infecter par un virus inconnus , les fichiers infectés devienne imposible a ouvrir et, bien sûr, à effacer "redondance cyclique"meme sous dos et en mode sans echeque

rapport hijack:

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Windows folder: C:\WINDOWS

System folder: C:\WINDOWS\system

Hosts file: C:\WINDOWS\System32\drivers\etc\hosts

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\FSI\F-Prot\fpavupdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\FSI\F-Prot\F-Sched.exe

C:\Program Files\FSI\F-Prot\F-StopW.EXE

C:\Program Files\y'z dock\YzDock.exe

C:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

C:\WINDOWS\notepad.exe

C:\WINDOWS\system32\notepad.exe

 

N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\temix\Application Data\Mozilla\Profiles\default\dujdh0ly.slt\prefs.js)

O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts

O1 - Hosts: 17.250.248.77 idisk0.mac.com

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (filesize 63128 bytes, MD5 F17B2B264072B921FC66A0BE16626BAB)

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Program Files\FSI\F-Prot\F-Sched.exe STARTUP (filesize 370504 bytes, MD5 FF01A92E32307063DF545A1B95966D84)

O4 - HKLM\..\Run: [F-StopW] C:\Program Files\FSI\F-Prot\F-StopW.EXEC:\Program Files\FSI\F-Prot\F-StopW.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Global Startup: .lnk = C:\Program Files\y'z dock\YzDock.exe (filesize 334336 bytes, MD5 99BA7F2F5AAA9E5CBD8384E0878D0CAA)

O4 - Global Startup: emu.lnk = C:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe (filesize 581755 bytes, MD5 47F796B52A45BC3D53CAE5B1A722DF98)

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (filesize 1694208 bytes, MD5 74E6E96C6F0E2ECA4EDBB7F7A468F259)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (filesize 1694208 bytes, MD5 74E6E96C6F0E2ECA4EDBB7F7A468F259)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeC:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Program Files\FSI\F-Prot\fpavupdm.exeC:\Program Files\FSI\F-Prot\fpavupdm.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeC:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeC:\Program Files\iPod\bin\iPodService.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exeC:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

 

je connais tres mal hijackthis et j'ai peut etre deja fais des betises :/

 

A L'AIDE!!!!!!!!!!!!!!!

Posté(e) (modifié)

Bonjour Foussa Rolls

 

As-tu suivi la procedure de Megataupe ?

 

Si tu ne la pas suivi la voila ICI

 

@+

 

Ps : Grillé par Charles Ingals

Modifié par kevin76
Posté(e)
salut Foussa Rolls

 

 

Est ce que tu peux nous en dire plus sur ces fichiers?? As tu conservé le rapport du scan qui t'a détecté cette infection?( un scan avec F-Prot?)

As tu essayé de faire la procédure de néttoyage? =>

http://forum.zebulon.fr/index.php?showtopic=83986

j'avais kaspersky lors de l'infection, je me suis apeçu que j'etais infecté lors d'un demarrage :programme kaspersky corrompus + maj impossible,les mises a jour auto windows etaient reactiver (je les desactive systemativement et je fais des maj manuelles toute les semaine)kaspersky etant ineficace 'et apres quelques tentatives de reparations, je l'ai desinstaler pour metre fprot à la place...:impossible de desinstaller le dossier de kaspersky dans "applicaton data " , c'est la que j'ai decouvert qu'un des fichier (unp027.avc) que pouvait etre accedé ...ensuite lancement du scane f-prot :plantage ,puit relance du scan d'f-prot avec procxp en tach de fond (handeler qui a tendance a "forcer" la stabilité des programmes)

Fprot n'a put ovrir ces fichier (3 en tout) mes il m'a permis de les trouver

J'ai tout essayé pour les detruir: absolument imposible

autre detail : lors du sans echec en rendant accecible tout les fichier (cachés) l'accer au dit fichier et a son repertoire provoque un redemarage auto....

je crois que j'ai choper une belle saleté , je flipe :/

Posté(e) (modifié)

re Foussa Rolls,bonsoir kevin76 :P

 

Je peux te proposer de faire ceci dans un premier temps en espérant que ca nous révèlera l'infection:

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

Dis moi si ca fonctionne!

Modifié par charles ingals
Posté(e)

le rapport de black light:

02/22/06 20:39:46 [info]: BlackLight Engine 1.0.32 initialized

02/22/06 20:39:46 [info]: OS: 5.1 build 2600 (Service Pack 2)

02/22/06 20:39:48 [Note]: 7019 4

02/22/06 20:39:48 [Note]: 7005 0

02/22/06 20:40:08 [Note]: 7006 0

02/22/06 20:40:08 [Note]: 7011 1448

02/22/06 20:40:09 [Note]: FSRAW library version 1.7.1015

 

il n'a rien trouver du tout...

 

 

info en plus:lors d'un scan avec antivir en mode sans echec, lorsque le scan arrive sur mon fammeux fichier ,il redemage (je pence que c'est la prcedure de protection bios de la carte mere)pour pouvoir scanner en sans echec je doit pouvoir effacer ces fichiers(en redondance cyclique ... existe t-il une methode?)

Posté(e) (modifié)

re!

 

Pour info, j'ai bien l'impression que ce fichier=> unp027.avc fait partie des mises à jour de Kaspersky,et est de ce fait un fichier légitime!

Edit: je viens de le téléchareger et le faire analyser, il est sain et fais partie des updates comme je t'ai dit!

 

Profites en pour faire un scan ici stp=>

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

Pour ce qui est de désinstaller Kaspersky proprement, voici un lien qui t'explique comment faire:

 

http://kav-france.com/faq/index.php?faqcategory=2&faqid=98

 

Si ca ne suffit pas, tu dois utiliser l'utilitaire remkav que tu trouveras dans la même page.

 

Pour info, Blacklight n'a rien trouvé...tant mieux!!

Modifié par charles ingals
Posté(e)

long mais apparement tres efficace :P (mais tres long)on en est a 50% et :2virus, 53 spy (rien que ça) , 3 maltools et ce n'est pas finis ...moi ki croyais etres tres clean

sinon pous le fichier de kav , je confirme c'est bien un fichier de definition

Posté(e)

voila le rapport!:

 

Incident Statut Analyse

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\temix\Application Data\Mozilla\Firefox\Profiles\452fuf8w.default\cookies.txt[]

Spyware:Cookie/Server.iad.Liveperson No Désinfecté C:\Documents and Settings\temix\Application Data\Mozilla\Firefox\Profiles\452fuf8w.default\cookies.txt[86118602]

Spyware:Cookie/Server.iad.Liveperson No Désinfecté C:\Documents and Settings\temix\Application Data\Mozilla\Firefox\Profiles\452fuf8w.default\cookies.txt[]

Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\temix\Application Data\Mozilla\Firefox\Profiles\452fuf8w.default\cookies.txt[dcsi077f700000ouja5uiwqep_3c8z]

Spyware:Cookie/Apmebf No Désinfecté C:\Documents and Settings\temix\Application Data\Mozilla\Firefox\Profiles\452fuf8w.default\cookies.txt[]

Hacktool:HackTool/CrackSearch.A No Désinfecté C:\Documents and Settings\temix\Application Data\Thunderbird\Profiles\izk327kf.default\Mail\pop3.free.fr\Inbox[CrackSearcher.exe]

Hacktool:HackTool/CrackSearch.A No Désinfecté C:\Documents and Settings\temix\Application Data\Thunderbird\Profiles\izk327kf.default\Mail\pop3.free.fr\Sent[CrackSearcher.exe]

Spyware:Cookie/2o7.net No Désinfecté C:\Documents and Settings\temix\Cookies\temix@2o7[2].txt

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\temix\Cookies\temix@ad.yieldmanager[2].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\temix\Cookies\temix@atdmt[2].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\temix\Cookies\temix@bluestreak[1].txt

Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\temix\Cookies\temix@c5.zedo[1].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\temix\Cookies\temix@doubleclick[1].txt

Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\temix\Cookies\temix@fastclick[1].txt

Spyware:Cookie/HotLog No Désinfecté C:\Documents and Settings\temix\Cookies\temix@hotlog[2].txt

Spyware:Cookie/Screensavers No Désinfecté C:\Documents and Settings\temix\Cookies\temix@i.screensavers[1].txt

Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\temix\Cookies\temix@overture[2].txt

Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\temix\Cookies\temix@perf.overture[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\temix\Cookies\temix@weborama[1].txt

Spyware:Cookie/Yadro No Désinfecté C:\Documents and Settings\temix\Cookies\temix@yadro[1].txt

Spyware:Cookie/Adserver No Désinfecté C:\Documents and Settings\temix\Cookies\temix@z1.adserver[1].txt

Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\temix\Cookies\temix@zedo[1].txt

Spyware:Cookie/2o7.net No Désinfecté C:\Documents and Settings\xps1.TEMIX-AET14FBVR\Application Data\Mozilla\Profiles\default\i4e23ic9.slt\cookies.txt[]

Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\xps1.TEMIX-AET14FBVR\Application Data\Mozilla\Profiles\default\i4e23ic9.slt\cookies.txt[s151508]

Spyware:Cookie/Server.iad.Liveperson No Désinfecté C:\Documents and Settings\xps1.TEMIX-AET14FBVR\Application Data\Mozilla\Profiles\default\i4e23ic9.slt\cookies.txt[74044775]

Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\xps1.TEMIX-AET14FBVR\Application Data\Mozilla\Profiles\default\i4e23ic9.slt\cookies.txt[s009-00-12-21-203449-44824]

Spyware:Cookie/2o7.net No Désinfecté C:\Documents and Settings\xps1.TEMIX-AET14FBVR\Cookies\xps1@2o7[2].txt

Spyware:Cookie/Abetterinternet No Désinfecté C:\Documents and Settings\xps1.TEMIX-AET14FBVR\Cookies\xps1@abetterinternet[2].txt

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\xps1.TEMIX-AET14FBVR\Cookies\xps1@advertising[2].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\xps1.TEMIX-AET14FBVR\Cookies\xps1@atdmt[1].txt

Spyware:Cookie/Btgrab No Désinfecté C:\Documents and Settings\xps1.TEMIX-AET14FBVR\Cookies\xps1@btg.btgrab[1].txt

Spyware:Cookie/Twain-Tech No Désinfecté C:\Documents and Settings\xps1.TEMIX-AET14FBVR\Cookies\xps1@cliks[1].txt

Spyware:Cookie/OfferOptimizer No Désinfecté C:\Documents and Settings\xps1.TEMIX-AET14FBVR\Cookies\xps1@offeroptimizer[2].txt

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\xps1.TEMIX-AET14FBVR\Cookies\xps1@servedby.advertising[1].txt

Virus:Eicar.Mod No Désinfecté C:\Program Files\FSI\F-Prot\fpav-help.chm[prob-scan-ok.html]

Virus:Eicar.Mod No Désinfecté C:\Program Files\InstallShield Installation Information\{9FD12630-1991-46F5-8479-92DE1EAE87DA}\data1.cab[prob-scan-ok.html]

Adware:Adware/SaveNow No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\39DB9101-1563-4688-9F33-957EBF\291B32E5-23C2-48D6-B5F2-9AEE83

Adware:Adware/SaveNow No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\39DB9101-1563-4688-9F33-957EBF\3A475B89-C1B8-4941-9F54-3DABD7

Adware:Adware/SaveNow No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\39DB9101-1563-4688-9F33-957EBF\A68DDF27-D32B-406F-992E-1DF657

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\4E8ECBFD-08B1-48AD-9D4F-7F96AE\0C54D1C9-43D2-4655-8E53-FDB2EC

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\4E8ECBFD-08B1-48AD-9D4F-7F96AE\2C2BA859-4595-49B0-891A-BE492A

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\4E8ECBFD-08B1-48AD-9D4F-7F96AE\3948E7F5-5A70-45A7-98E2-27E7FA

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\4E8ECBFD-08B1-48AD-9D4F-7F96AE\69852669-1C9E-4486-823C-BA4737

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\4E8ECBFD-08B1-48AD-9D4F-7F96AE\71B6FDFC-F959-4660-97C5-5754E7

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\4E8ECBFD-08B1-48AD-9D4F-7F96AE\766B808B-B5F7-42DD-B774-B8BFB8

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\4E8ECBFD-08B1-48AD-9D4F-7F96AE\A2993A52-D7D7-4F88-94A8-00CF0B

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\4E8ECBFD-08B1-48AD-9D4F-7F96AE\DB79ADCC-BA28-4576-9CA4-A7C268

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\4E8ECBFD-08B1-48AD-9D4F-7F96AE\EBC5E9E7-0830-4C1F-9612-EBD08F

Spyware:Spyware/New.net No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\F713400F-303D-4C9D-9289-A3573F\BAEBA5E1-6E90-4C84-85FA-DE9C07

Spyware:Spyware/New.net No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\F713400F-303D-4C9D-9289-A3573F\D069D789-6B0B-492D-B2CE-BE483A

Adware:adware/ncase No Désinfecté C:\Temp\salm.log

Adware:adware/exact.bargainbuddy No Désinfecté C:\WINDOWS\msxct1.ini

Spyware:Spyware/New.net No Désinfecté C:\WINDOWS\NDNuninstall7_22.exe

Adware:adware/savenow No Désinfecté C:\WINDOWS\system32\ap2nqrd4.dat

Adware:adware/sahagent No Désinfecté C:\WINDOWS\system32\bqrufs5f.dat

Adware:adware/wupd No Désinfecté C:\WINDOWS\system32\q17i9a4j.ini

Spyware:spyware/media-motor No Désinfecté C:\WINDOWS\ubber60.ini

Adware:Adware/Trymedia No Désinfecté F:\application\Kaspersky Anti-Virus Personal 5.0.383 full [found on security.peerania.com].rar[Hitman 2 Silent Assassin FULL [ by PeerAnia.com] (autobittorrent).exe]

Spyware:Cookie/2o7.net No Désinfecté F:\aztemp\Mozilla\Profiles\default\i5un19g6.slt\cookies.txt[]

Spyware:Cookie/WebtrendsLive No Désinfecté F:\aztemp\Mozilla\Profiles\default\i5un19g6.slt\cookies.txt[s151508]

Spyware:Cookie/Server.iad.Liveperson No Désinfecté F:\aztemp\Mozilla\Profiles\default\i5un19g6.slt\cookies.txt[74044775]

Spyware:Cookie/WebtrendsLive No Désinfecté F:\aztemp\Mozilla\Profiles\default\i5un19g6.slt\cookies.txt[s009-00-12-21-203449-44824]

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...