Trojan Pipas.a

[Thanos]

re FeIZocE

 

On s'en occupe de ces bouzes:lol: =>même procédure:

 

*Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci:

C:\WINDOWS\SYSTEM32\eglivecam_1030.dll

-Assure toi que la case "Delete on Reboot" soit cochée.

 

-lorsque tu vas entrer un fichier avec l'extension dll , la case "Unregister .dll Before Deleting" sera disponible, coche cette case!

 

Cliquer sur la croix blanche sur fond rouge , au message suivant qui va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » : répondre NON

 

Ainsi de suite tu entre les chemins de tout les fichiers=>

C:\WINDOWS\INF\localNrd.inf

C:\WINDOWS\INF\twaintec.inf

C:\WINDOWS\LastGood\Downloaded Program Files\f3initialsetup1.0.0.8-2.inf

C:\WINDOWS\LastGood\INF\payload2.inf

C:\WINDOWS\rdt.ini

C:\WINDOWS\smdat32m.sys

C:\WINDOWS\SYSTEM32\f3PSSavr.scr

C:\WINDOWS\FT1_02_0_402_GEPFAH.EXE

à la fin , le même message va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

 

Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement.

 

Lorsque tu as redémarré, j'aimerais que tu t'assures de ceci stp:

 

Le rapport de Panda montre ceci : C:\!KillBox\pppcgm.exe . Le dossier C:\!KillBox est en fait le dossier ou sont sauvegardés les fichiers apres élimination. Je ne comprend pas pourquoi il ne montre pas les autres fichiers éliminés dans ce même dossier!!( C:\!KillBox\dmtjq.exe , C:\!KillBox\sphlp32.exe etc...)

Tout ca pour dire: on va regarder si les précédents fichiers découverts par Blacklight ont bien disparu =>

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!important!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

*Si tu trouves ces fichiers redémarre en mode sans échec et élimine les:

 

C:\WINDOWS\SYSTEM32\ dmtjq.exe

C:\WINDOWS\SYSTEM32\ sphlp32.exe

C:\WINDOWS\SYSTEM32\ howiper.exe

C:\WINDOWS\SYSTEM32\ favset.exe

C:\WINDOWS\SYSTEM32\ filesafer23.exe

 

Vide la corbeille.

 

A ceci il faut ajouter un autre scan chez Panda stp!(je sais c'est chiant mais il ne faut pas faire les choses à moitié sous peine de voir l'infection se régénérer!)

Modifié le 22 mars 2006 par charles ingals

[FeIZocE]

Bonjour, charles.

 

J'ai effectué les opérations que tu m'as conseillées, et je n'ai pas trouvé trace des fichiers mentionnés dans Sytem32. J'ai effacé le reste, et j'ai scanné avec Panda.

C'est là que j'ai rencontré un problème: il me détecte 2 espions et 1 numéroteur, mais impossible d'afficher le rapport, il se crée comme un bug d'affichage. J'ai scanné par deux fois, même résultat. À noter qu'au cours des scans, Antivir m'a détecté deux fois StrpSaver.a ou un truc dans le genre. J'ai coché access deny. C'est peut-être ça?

 

J'attends de tes nouvelles. Merci encore pour ta patience.

[tornado]

Salut FeIZocE, charles

 

 

Du moment qu tu ne trouves pas les fichiers que la killbox était censé te supprimer...

 

Pense à supprimer les sauvegardes crées par la Killbox, en vidant le dossier C:\!Killbox

 

Sinon, tu peux faire le scan en ligne de Kaspersky, disponible cette page --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php

Poste ensuite le rapport du scan

 

Bonne chance

 

 

PS: Au pire, essaie de désinstaller l'activex de panda via "ajouter/supprimer des programmes" et retente le coup avec le scan en ligne...

Modifié le 23 mars 2006 par tornado

[FeIZocE]

Salut tornado, et merci pour ton soutien.

 

J'ai passé un coup d'AAW qui m'a éliminé 51 objets, un coup de DiskCleaner, et repassé Panda. Ca a enfin marché, et il ne me déniche plus que ce dialer:

 

Dialer:dialer.b No Désinfecté C:\WINDOWS\tmlpcert2005

 

Bon app!

[tornado]

Re,

 

 

 

Bon, maintenant qu'il ne reste plus qu'un fichier indésirable (un dossier plutot ), on peut le supprimer manuellement. Et étant donné que Charles ne t'a pas fait "nettoyé" ton système, on va s'en occuper. Je précise que le nettoyage du registre (avec Jv16, Easycleaner) est important car la suppression des fichiers malveillants a créé des clés orphelines dans le registre. Et ce "grand" nettoyage ne fera pas de mal à ton système :

 

 

Télécharge et installe les logiciels suivants au préalable

 

- Ewido anti-malware --> http://www.ewido.net/en/download/

 

- A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel)

- Fais la mise à jour

 

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

1/ Redémarre en mode sans échec

 

 

2/ Vérifie d'avoir accès à tous les fichiers dossiers de la manière suivante (si c'est pas déjà fait):

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

- Valide

 

 

3/ Supprime le dossier suivant :

 

C:\WINDOWS\tmlpcert2005

 

 

- Vide la corbeille

 

 

PS: Si la suppression du dossier ne fonctionne pas en mode normal, effectue-la en mode sans échec

 

 

4/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16powertools

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

ATF-cleaner

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

NB: Je te fais passer plusieurs nettoyeurs, tout simplement car ils sont complémentaires. Le nettoyage avec uniquement l'un d'entre eux est insuffisant...Dans ton post précédent, tu dis avoir nettoyé ton pc avec Diskcleaner, mais c'est insuffisant...

 

 

4/ Redémarre en mode normal, fais à nouveau le scan de panda ( on sait jamais ) et poste le rapport

 

 

 

 

Bonne chance

Modifié le 23 mars 2006 par tornado

[FeIZocE]

Tout a été fait comme tu me l'a conseillé, et ActiveScan n'a pas déniché une seule infection. Par contre, à chaque fois que je lance ce scan, Antivir se réveille deux fois pour me dire qu'un trojan (StripSaver) a été détecté. Je refuse l'accès, mais est-ce que ça a un rapport?

 

J'attends vos prochains conseils, et merci pour votre patience.

[Thanos]

salut FeIZocE ,tornado

 

BOn signe si le scan en ligne ne détecte rien!! Par contre pour ce StripSaver...est ce que tu as ce logiciel sur ton pc??Regarde dans Installer /Désinstaller(Panneau de Configuration) si tu le trouve. C'est un screensaver,entre autre ; un peu douteux...

[FeIZocE]

Justement, non. Je suis au taff, jamais je me permettrais d'installer un truc dans le genre. Imagine mon boss tombant dessus...

D'où mon interrogation.

Enfin bref, ça me dérange pas de lui refuser l'accès de mon DD à chaque scan de Panda, tant qu'il reste hors de portée.

[Thanos]

salut

 

Il n'y a que lorsque tu fais le scan chez Panda que tu reçois cette alerte??bizarre

Justement, non. Je suis au taff, jamais je me permettrais d'installer un truc dans le genre. Imagine mon boss tombant dessus...

Je savais pas que c'était le pc du boulot!!tu as été voir dans les programmes quand même? au cas ou quelqu'un d'autre que toi aurait eu accès au pc...!

[FeIZocE]

Bonjour, charles.

 

J'ai vérifié, et je reconnais tous les programmes présents dans AJout/Suppression... En plus, je suis le seul à avoir accès à cet ordi au quotidien. Je pense que ça ne vient pas de là. Une autre bizarrerie du même genre: quand je lance AAW, et même si ce dernier ne détacte aucune infection, Antivir me détecte, pendant le scan, un autre traojan dénommé FlashKiller. Cette fois, j'ai supprimé au lieu de simplement fermer l'accès.

Je relancerai AAW aujourd'hui pour voir s'il m'affiche la même alerte.

 

@ tantôt, et merci pour votre aide.