| Gandi Profil : Penguin Pro | salut  Voilà, j'ai fait une légère bourde aujourd'hui sur mon PC, je voulais graver un CD mais n'ayant pas de logiciel de gravure, j'en ai cherché un, j'en ai trouvé un gratuit, super sympa, enfin d'après les commentaires (faux, il faut le dire) qui disait qu'il était plutôt bien... Le hic, l'installateur, ne m'a pas installé le logiciel mais une floppé de trojan et autre babiole du net  J'avais fais au préalable une analyse anti virus, mais celui ci n'a rien trouvé... Et puis je ne m'était pas vraiment méfié vu que le fichier .exe était plutôt imposant... Alors il a commencé par me mettre un gentil trojan tout mignon, bien visible, sur mon bureau avec le doux nom de "Trojan.Win32.BlackBird.exe", bien évidemment impossible de le supprimer, même en mode sans echec toussa... J'ai essayé divers utilitaires, j'ai réussi a enlever quelques merdes, car avant je ne pouvait plus accéder au gestionnaires des taches, panneau de config' et tout le tralala supplémentaire et nécessaire... Il m'est actuellement impossible de télécharger un fichier par firefox, mais j'ai néanmoins pu installer ad-aware, qui m'a trouvé un dizaine de trojan/malware/spyware et companie... bien entendu supprimé... Ensuite, depuis ce moment, j'ai mon anti-virus qui me sors ça toutes les deux minutes (c'est pas imagé, hein, c'ets vrai, vraiment toute les deux minutes) : Citation :
Win32/Vundo!generic a été détecté dans C:\WINDOWS\SYSTEM32\NNNNKCSQ.DLL.
Ordinateur : PC-DE-SYLVAIN,Utilisateur : PC-DE-SYLVAIN\Administrateur.
Etat du fichier : Infecté
|
Bien entendu, je ne vois pas le fichier concerné, mon antivirus, etrust, me le supprime surement à chaque fois, mais il revient tout le temps. Ensuite j'ai eu la bonne idée d'analyser mon PC avec kapersky en ligne, voici le rapport : analyse.html Comme on peut le constater j'ai un bon nombre de connerie sur mon jolie PC, mais le truc surprenant c'est surtout que le fichier C:\WINDOWS\SYSTEM32\NNNNKCSQ.DLL est vérouillé  Voilà, j'ai donné tout ce que je savais sur ce doux trojan. | |
Tardio Profil : Penguin Pro | Tu peux toujours rien télécharger ? Parceque moi je t'aurais conseiller, installation de Kaspersky 30jours d'éval, scan complet (ou alors installer antivir direct et faire de meme). Installation d'AVG AntiSPyware + SUPERantispyware => scans complet. Et aprés tout sa, poster un log HijackThis. ps: vive Windows ? dans le cas présent c'est entierement ta faute, mais peut-être aussi celle de ton antivirus qui n'a pas était trés efficace, je te recommanderais antivir ou avg à l'avenir... Autrement, InfraRecorder est un trés bon logiciel de gravure. | |
Raverghost Profil : Top Penguin | Idem 
je te conseil de supprimer ton anti virus et d'installer antivir qui (pour moi) et le meilleur Gratuit
et de refaire une analyse complète
| |
bilox2000 Profil : Penguin | utilises HIJACKTHIS et postes le résultat. autre chose: ANTIVIR a une fonction qui consiste à RENOMER DE FORCE un fichier infecté qui a tendance à reapparaitre à chaque fois qu'on le supprime avec l'antivirus. A la suite de ce "renomage", il le supprime sans problème. Je ne sais pas si les autres antivirus le font. | |
Gandi Profil : Penguin Pro | Merci pour ta réponse Pour commencer, mon anti virus est performant, mais je viens de me rendre compte que les mise à jours auto était désactivé, donc sans mise à jour... Sinon, je veux bien installer kapersky, mais ça résoudra pas mon problème, car ce même logiciel a analysé le fichier qui m'a causé plein de malheur comme verouillé... donc ça m'aidera pas à grand chose, à par supprimer les trucs restant... Sinon, je suis au courant que c'est de ma faute... j'ai installé un logiciel louche... mais en même temps comment je pouvais le savoir, même mon antivirus ne le savait pas...  Sinon le "vive windows" ça vient tout simplement du fait qu'il y ai beaucoup plus de trojan sur cet OS  edit  voici le log hijackthis : Citation :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:47:23, on 30/04/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Program Files\CA\eTrust Antivirus\InoNmSrv.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - C:\WINDOWS\system32\efcATkji.dll
O2 - BHO: (no name) - {EC7B2525-9067-418F-93C9-CF43C233BD25} - C:\WINDOWS\system32\nnnnKCsQ.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DelayLoad] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\msprint.exe
O4 - HKLM\..\Run: [e0c3c61a] rundll32.exe "C:\WINDOWS\system32\qhioflsh.dll",b
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ulmcablf] C:\WINDOWS\system32\ujqfizop.exe
O4 - Startup: YzShadow.lnk = C:\Program Files\y'z shadow\YzShadow.exe
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1205602576773
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{0FA84F5D-7D0A-4F48-8A90-6E6D9FF2C0B3}: NameServer = 82.216.111.124,82.216.111.125
O20 - Winlogon Notify: efcATkji - C:\WINDOWS\SYSTEM32\efcATkji.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates International Inc. - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Serveur Admin eTrust Antivirus (InoNmSrv) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoNmSrv.exe
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe --
End of file - 8619 bytes
|
| |
moa18e i haz a leaf.
Profil : Penguin Pro | Si il s'agit de supprimer un fichier de force, il y a Killbox, il supprime au démarrage du système avant que Windows ne mette en place les protections, plus efficace y a pas. | |
Gandi Profil : Penguin Pro | moa18e a écrit :
Si il s'agit de supprimer un fichier de force, il y a Killbox, il supprime au démarrage du système avant que Windows ne mette en place les protections, plus efficace y a pas.
|
J'ai bien entendu essayé, mais il a pas voulu le supprimer, je sais pas si c'est un manque de connaissance ou autre...
edit j'ai rien dit je viens de voir les autres options, je suis plutôt fatigué, désolé... | |
bilox2000 Profil : Penguin | tu as deux dll et un exe suspects d'après hijackthis: O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - C:\WINDOWS\system32\efcATkji.dll
Genre: Programme inconnu. O2 - BHO: (no name) - {EC7B2525-9067-418F-93C9-CF43C233BD25} - C:\WINDOWS\system32\nnnnKCsQ.dll Genre: Programme inconnu. O4 - HKCU\..\Run: [ulmcablf] C:\WINDOWS\system32\ujqfizop.exe Genre: Programme inconnu. supprimes-les si c'est pas des trucs que tu connais.c'est surement le virus!!! | |
Tardio Profil : Penguin Pro | A supprimer O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - C:\WINDOWS\system32\efcATkji.dll O2 - BHO: (no name) - {EC7B2525-9067-418F-93C9-CF43C233BD25} - C:\WINDOWS\system32\nnnnKCsQ.dll O4 - HKLM\..\Run: [DelayLoad] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\msprint.exe O4 - HKLM\..\Run: [e0c3c61a] rundll32.exe "C:\WINDOWS\system32\qhioflsh.dll",b O4 - HKCU\..\Run: [ulmcablf] C:\WINDOWS\system32\ujqfizop.exe Suspect, à vérifier O17 - HKLM\System\CS2\Services\Tcpip\..\{0FA84F5D-7D0A-4F48-8A90-6E6D9FF2C0B3}: NameServer = 82.216.111.124,82.216.111.125 O20 - Winlogon Notify: efcATkji - C:\WINDOWS\SYSTEM32\efcATkji.dll
Aprés, scans avec les antispywares que je t'ai cité, (tu as aussi a-squared qui est assez bon)
| |
Gandi Profil : Penguin Pro | J'ai au moins réussi à supprimer le fichier sur le bureau. J'ai aussi supprimé les fichiers que tu m'as signalé tardio. Je cours installer les deux logiciels cités edit mais avant je supprime la dll suspecte au reboot edit2 killbox n'a pas supprimé la dll | |
Gandi Profil : Penguin Pro | Bon, ça a l'air de vachement mieux marcher, j'avais plutôt mal configuré mon anti virus, il était programmé pour supprimer les fichiers infecté, mais là il les désinfecte et fait d'autre choses, donc c'ets nickel, j'ai plus d'alertes anti virus. Ensuite, les recherches de spyware avec les deux logiciels dont tu m'a parlé Tardio avec en plus spybot et ad-aware n'ont rien donné. On pourrait dire qu'il n'y a plus rien, mais y a toujours quelque chose, le PC est plus lent que d'habitude, enfin je trouve. Là je vais lancer une seconde analyse avec kapersky edit ouai kapersky trouve encore des jolies truc sur mon PC, je suis fou de joie à l'idée d'avoir des petits compagnons | |
moa18e i haz a leaf.
Profil : Penguin Pro |
Ça ça m'étonne, aucune DLL chez moi n'y a résisté. Je me demande plutôt si la DLL en question n'a pas été retéléchargée grâce à la connexion. À l'époque où j'avais été infecté par tout un tas de saloperies du même genre, j'avais remarqué que certaines DLL se mettaient à jour quotidiennement (voir "Dernière modification du fichier" . J'en avais conclu que c'étaient soit des DLL de Windows qui se mettaientt à jour tous les jours, indépendamment d'une connexion quelconque, soit les mauvaises DLL. Résultat, un soir j'ai coupé ma connexion avant de fermer l'ordinateur, et le lendemain, j'ai fait la liste des DLL qui ne s'étaient pas mises à jour au démarrage, faute de connexion. Celles-ci sont toutes passées au broyeur Killbox, et hop.
| |
Gandi Profil : Penguin Pro | C'est possible, mais là au point où j'en suis, je crois que je vais pas me casser la tête et tout reformater J'ai rien à perdre, à pars du temps, et puis ça évitera de chercher en vain une solution. Faut juste que je retrouve mon CD windows  | |
telujite KCN
Profil : Penguin Pro | sinon, ça doit bien être possible de la supprimer à partir d'un livecd linux, non? | |
Gandi Profil : Penguin Pro | Telu est en contact direct avec mon PC on dirait Bon j'ai réussi à supprimer toutes les saletés sur mon PC, mais pas uniquement ça, y a plus d'OS non plus Là j'installe actuellement linux, donc y aura pu de problème | |
telujite KCN
Profil : Penguin Pro | solution radicale... | |
Tekikou Tux Fantôme
Profil : Penguin Pro | Mais efficace  . La prochaine fois installer Kaspersky avant | |
| |
