Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

multi infection à l'aide

busybee

Par busybee
dans Analyses et éradication malwares

 Partager

Messages recommandés

busybee Junior Member

busybee

Posté(e)
Posté(e)

bonjour

 

j'ai suivi le mode d'emploi de prédésinfection hier mais anti vir m'a trouvé des virus dans mes inbox et autres de thunderbird (dans les profils de documents and settings). j'ai repassé kaspersky en ligne cette fois, idem, mais tous deux ne font que sauter les fichiers en question, je ne sais donc pas comment désinfecter.

j'envoie un extrait du rapport de kaspersky (car trop long)

 

j'ai w2k pro sp4 et un pIII 600 mais seulement une connection 56k.

 

Total number of scanned objects 93235

Number of viruses found 4

Number of infected objects 30 / 0

Number of suspicious objects 6

 

C:\Documents and Settings\xx\Application Data\Thunderbird\Profiles\kl5hz7hf.admin\Mail\pop.wanadoo-3.fr\Inbox/[From "Lindsey Hodge" ][Date Fri, 26 Nov 2004 17:59:42 +0100]/UNNAMED/[From "Derek Hewitt" ][Date Sat, 18 Dec 2004 16:41:02 -0400]/UNNAMED/[From [email protected]][Date Wed, 02 Mar 2005 12:13:51 UTC]/UNNAMED/text.zip/doc_data-text.txt .pif Infected: Email-Worm.Win32.Sober.k (et plusieurs fois)

 

C:\Documents and Settings\xx\Application Data\Thunderbird\Profiles\kl5hz7hf.admin\Mail\pop.wanadoo-3.fr\Inbox Mail Berkeley mbox: infected - 5

(plusieurs fois)

 

C:\Documents and Settings\xx\Application Data\Thunderbird\Profiles\kl5hz7hf.admin\Mail\Local Folders\Junk/[From "[email protected]" ][Date Sun, 24 Oct 2004 21:14:22 -0600]/price.exe Infected: Email-Worm.Win32.Bagle.as skipped

C:\Documents and Settings\xx\Application Data\Thunderbird\Profiles\kl5hz7hf.admin\Mail\Local Folders\Junk/[From CITIBANK ][Date Sun, 01 Aug 2004 19:05:17 -0200]/UNNAMED/html Infected: Trojan-Spy.HTML.Citifraud.ai (plusieurs fois aussi)

 

et enfin

D:\Contacts\Messages\Phil.dbx/[From "phil" ][Date Thu, 14 Nov 2002 22:48:57 +0100]/UNNAMED Suspicious: Exploit.HTML.Iframe.FileDownload

 

à votre disposition pour tout renseignement supplémentaire et merci de votre aide

 

busybee

Lien vers le commentaire
Partager sur d’autres sites

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e)

Bonjour,

 

 

 

1/ demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

 

2/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

3/ vide les dossiers en gras suivant:

 

C:\Documents and Settings\xx\Application Data\Thunderbird\Profiles\kl5hz7hf.admin\Mail\pop.wanadoo-3.fr\ Inbox<== vide le dossier

C:\Documents and Settings\xx\Application Data\Thunderbird\Profiles\kl5hz7hf.admin\Mail\Local Folders\ Junk<== vide le dossier

D:\Contacts\Messages\ Phil.dbx<== vide le dossier

 

4/ vide la corbeille

 

5/ redemarre en mode normal

 

6/ refais un nouveau scan et post le rapport.

 

@+

Lien vers le commentaire
Partager sur d’autres sites
busybee Junior Member

busybee

Posté(e)
  • Auteur
Posté(e)

re,

 

pas de probleme, tu fais ca quand tu veux :P

 

 

tu ne crois pas si bien dire, et je vais raconter la suite, ça servira peut-être à quelqu'un!!

j'ai bien suivi ta démarche, mais quand j'ai tenté d'installer un anti virus pour finir le boulot (et remplacer avast qui s'était avéré être la passoire en question...), j'ai eu un méga plantage:

 

redémarrage en boucle du pc juste avant le bureau avec un compteur et "unexpected_kernel_mode_trap", suivi de "vidage de la mémoire physique vers le disque".

je n'ai pu qu'atteindre le mode sans échec et sans prise en charge réseau, tout était viré y compris le tcp ip, et j'ai pu voir un journal d'erreurs épouvantable (erreurs ipnathlp 31012, et beaucoup d'autres), le journal applications de w2k a même été détruit, et un secteur d'amorçage.

 

je commence à émerger maintenant après... un formatage.

du coup j'ai installé panda qui ne m'a trouvé que quelques cookies dans mes sauvegardes: cookie/fe.lea.lycos, cookie/fortunecity; cookie/maxserving, cookie/go, cookie/atwola.

 

je pense que ça va aller donc merci.

par contre, si quelqu'un avait la patience de m'expliquer ce qui m'est arrivé en réalité, ce serait cool.

 

a+

busybee

ps: vous voulez un hijackthis? (mais ya plus trop rien sur mon disque, enfin...)

Lien vers le commentaire
Partager sur d’autres sites
busybee Junior Member

busybee

Posté(e)
  • Auteur
Posté(e)

re,

 

La je ne comprends pas ce qui s'est passé :P:P

Si tu veux postes ton rapport hijackthis.

 

re,

voici le rapport

Logfile of HijackThis v1.99.1

Scan saved at 13:27:18, on 02/07/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\devldr32.exe

C:\WINNT\system32\atiptaxx.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINNT\system32\internat.exe

D:\Downloads\hijack-this\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [updReg] C:\WINNT\Updreg.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [internat.exe] internat.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

 

 

merci

busybee

Lien vers le commentaire
Partager sur d’autres sites
bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e) (modifié)

bonjour,

 

 

1/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

 

2/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

3/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

4/supprime ce qui est en gras:

 

C:\WINNT\web\ related.htm<== le fichier

 

 

5/redemarre en mode normal

 

6/poste un nouveau log hijackthis.

 

bon courage, et si tu as la moindre question n'hesite surtout pas :P

 

@+

Modifié par bruce lee
Lien vers le commentaire
Partager sur d’autres sites
busybee Junior Member

busybee

Posté(e)
  • Auteur
Posté(e)

 

 

6/poste un nouveau log hijackthis.

 

bon courage, et si tu as la moindre question n'hesite surtout pas :P

 

 

re!

voici donc le nouveau rapport

 

Logfile of HijackThis v1.99.1

Scan saved at 10:38:41, on 04/07/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\Explorer.EXE

C:\WINNT\system32\devldr32.exe

C:\WINNT\system32\atiptaxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINNT\system32\internat.exe

C:\Program Files\hijack-this\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [updReg] C:\WINNT\Updreg.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [MSConfig] C:\WINNT\system32\msconfig.exe /auto

O4 - HKCU\..\Run: [internat.exe] internat.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

 

merci pour les conseils

a+

busybee

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...