Trojan Pipas.a

[Mark]

Coucou vous deux

 

Effectivement FeIZocE, tu dois refaire la manip avec FixWareout, et assure-toi de supprimer la version que tu utilisais auparavant, et télécharge l'outil à nouveau.

 

On verra... Si ça semble pas marcher, faudra scanner avec BlackLight pour identifier où se cache le rootkit..

 

@+

[FeIZocE]

Bonjour à vous deux, et merci pour votre aide.

 

Comment être sûr de désinstaller comme il faut la version précédente de FWO? Je ne le trouve pas dans les processus, il n'a pas de désinstallation, et il n'est pas non plus présent dans le Panneau de Config > AJout/Suppr... Idem, il n'est pas présent au démarrage dans Startup.

 

J'ai tenté une suppression pure et simple des fichiers directement dans C:, et un redémarrage mais la version téléchargée aboutit toujours au même résultat:

 

Check for missing files
..... 
C:\WINDOWS\system32\AUTOEXEC.NT not there
..... 
End check for missing files
..... 
VXD Check
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers]
"VDD"=hex(7):52,4e,42,4f,56,44,44,2e,44,4c,4c,00,00
..... 
End vxd check

 

À bientôt

Modifié le 22 mars 2006 par FeIZocE

[Thanos]

salut FeIZocE,QC001

 

Comment être sûr de désinstaller comme il faut la version précédente de FWO

 

Ce que voulait dire QC001 je pense, c'est de bien utiliser le nouvelle version ,et pas celle qui à produit le rapport que tu as posté en début de discussion!

 

Etonnant que Fixwareout ne donne rien... comme le suggère master QC001 ,(merci d'être intervenu ) tu peux passer Blacklight comme ceci:

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

@+ tard avec le rapport

Modifié le 22 mars 2006 par charles ingals

[FeIZocE]

J'ai suivi tes instructions, et je suis actuellement sur la page "clean hidden items". Voici le rapport, et j'attends la suite. À noter qu'AVG s'est réveillé pendant le scan et m'a détecté howiper et sphlp32. J'ai ignoré et quitté AVG. Merci, charles.

 

03/22/06 14:03:19 [Info]: BlackLight Engine 1.0.33 initialized
03/22/06 14:03:19 [Info]: OS: 5.1 build 2600 (Service Pack 1)
03/22/06 14:03:27 [Note]: 7019 4
03/22/06 14:03:27 [Note]: 7005 0
03/22/06 14:03:52 [Note]: 7006 0
03/22/06 14:03:53 [Note]: 7011 1760
03/22/06 14:03:54 [Note]: FSRAW library version 1.7.1015
03/22/06 14:17:57 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\WBEM\WBEMTEST.EXE
03/22/06 14:17:58 [Note]: 10002 1
03/22/06 14:19:08 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\cspff.exe
03/22/06 14:19:08 [Note]: 7002 32
03/22/06 14:19:08 [Note]: 7003 1
03/22/06 14:19:08 [Note]: 10002 1
03/22/06 14:19:34 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\dmtjq.exe
03/22/06 14:19:34 [Note]: 7002 32
03/22/06 14:19:34 [Note]: 7003 1
03/22/06 14:19:34 [Note]: 10002 1
03/22/06 14:21:50 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\sphlp32.exe
03/22/06 14:21:51 [Note]: 7002 5
03/22/06 14:21:51 [Note]: 7003 1
03/22/06 14:21:51 [Note]: 10002 1
03/22/06 14:22:15 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\howiper.exe
03/22/06 14:22:15 [Note]: 7002 5
03/22/06 14:22:15 [Note]: 7003 1
03/22/06 14:22:15 [Note]: 10002 1
03/22/06 14:22:25 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\pppcgm.exe
03/22/06 14:22:25 [Note]: 10002 1
03/22/06 14:22:26 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\favset.exe
03/22/06 14:22:26 [Note]: 7002 5
03/22/06 14:22:26 [Note]: 7003 1
03/22/06 14:22:26 [Note]: 10002 1
03/22/06 14:22:26 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\filesafer23.exe
03/22/06 14:22:26 [Note]: 10002 1

[Thanos]

Blacklight a bien bossé et montré les fichiers cachés!! je prépare une procédure pour la suite

[FeIZocE]

Merci pour ta rapidité et ton efficacité J'attends.

[Thanos]

On va éliminer les fichiers trouvés par Blacklight comme ceci:

 

* Télécharge : Killbox d'Option^Explicit

met le dans un dossier.

 

*Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci:

C:\WINDOWS\SYSTEM32\cspff.exe

-Assure toi que la case "Delete on Reboot" soit cochée.

 

Cliquer sur la croix blanche sur fond rouge , au message suivant qui va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » : répondre NON

 

Ainsi de suite tu entre les chemins de tout les fichiers=>

C:\WINDOWS\SYSTEM32\dmtjq.exe

C:\WINDOWS\SYSTEM32\sphlp32.exe

C:\WINDOWS\SYSTEM32\howiper.exe

C:\WINDOWS\SYSTEM32\pppcgm.exe

C:\WINDOWS\SYSTEM32\favset.exe

C:\WINDOWS\SYSTEM32\filesafer23.exe

à la fin , le même message va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

 

Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement.

 

*Au redémarrage, relance Blacklight comme précédemment et poste le rapport stp sans utiliser l'option "rename"

Modifié le 22 mars 2006 par charles ingals

[FeIZocE]

Superbe! Ca m'a tout nettoyé. J'ai vérifié: Spybot est redevenu rapide, je n'ai plus de problèmes d'enregistrement avec la CS d'Adobe, et je n'ai plus de liens vers des sites immobiliers avec Google sous IE. Tu me tires une sacrée épine du pied! Merci à Zebulon car vous faites un superbe boulot, et votre newsletter me sert souvent de faire-valoir.

Et merci à toi en particulier d'avoir pris tout ce temps pour m'aider. Je suis modo sur Dezign-Box (site et forum Photoshop), et si un jour je peux te dépanner de la même façon, fais-le moi savoir, j'en serai heureux!

 

Encore merci.

[Thanos]

FeIZocE , content que ca fonctionne cependant, ce n'est pas encore fini!! pour être sûr que tout est bien désinfecté , fais ce scan stp:

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

Apres ca, si tout est bien clean, on verra un peu la partie sécurisation :la plus importante!! parce qu'en relisant ton rapport plus haut , je vois deux antivirus qui tournent en même temps sur ton pc: source de plantages et ralentissements!! Garde Antivir et désinstalle AVG (ou l'inverse! selon tes préférences, mais

Antivir est à mon avis plus efficace!)

 

@+ tard pour un pc bien propre!

[FeIZocE]

Tu avais raison, ActiveScan m'a détecté des bouses que ne m'a pas révélées Spybot:

 

Incident Statut Analyse

 

Adware:Adware/QuickWeb No Désinfecté C:\!KillBox\pppcgm.exe

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\communication\Application Data\Mozilla\Firefox\Profiles\b9nvya1h.default\cookies.txt[]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\communication\Cookies\communication@xiti[1].txt

Adware:adware/gator No Désinfecté C:\WINDOWS\FT1_02_0_402_GEPFAH.EXE

Adware:Adware/LocalNRD No Désinfecté C:\WINDOWS\INF\localNrd.inf

Adware:adware/twain-tech No Désinfecté C:\WINDOWS\INF\twaintec.inf

Outil indésirable:Application/FunWeb No Désinfecté C:\WINDOWS\LastGood\Downloaded Program Files\f3initialsetup1.0.0.8-2.inf

Spyware:spyware/betterinet No Désinfecté C:\WINDOWS\LastGood\INF\payload2.inf

Adware:adware/sbsoft No Désinfecté C:\WINDOWS\rdt.ini

Spyware:application/bestoffer No Désinfecté C:\WINDOWS\smdat32m.sys

Dialer:dialer.b No Désinfecté C:\WINDOWS\SYSTEM32\eglivecam_1030.dll

Outil indésirable:Application/MyWebSearch No Désinfecté C:\WINDOWS\SYSTEM32\f3PSSavr.scr

 

Quant à AVG, je l'ai désinstallé. J'attends tes instructions avant de relancer quoi que ce soit, genre AAW.

Modifié le 22 mars 2006 par FeIZocE