Virus Informatique: Cheval de Troie ?

Moderator: Mod

Virus Informatique: Cheval de Troie ?

Postby keres13 » Sun Oct 04, 2009 1:12 pm

Tout d'abord, bonjour/bonsoir,

Esperant que je suis dans la bonne partie pour poster mon problème. Voilà, je crois, ou plutôt, est sur de façon certaine que mon ordinateur a été infecté par un voir plusieurs cheval de Troie.
Je vous precise que j'ai Windows Vista Edition Familliale, que je suis connecté en WIFI a une Livebox.

Je surfais donc sur la toile, a la recherche d'un keygen, étant pour une fois pas très malin, ni méfiant, je télécharge sans trop regarder. Alerte de mon AV ( AVG Free ), menace détecter, trois cheval de droit dans le dossier [i:9a31d9257e]downloads[/i:9a31d9257e]/[i:9a31d9257e]temp[/i:9a31d9257e].
Direct, j'ai fait " supprimer fichiers en tant qu'utilisateur avancer", trop tard je pense, car entre tant, un logiciel FAke-AV, je dirais ( Contraviro), s'est installé, et que je ne peux plus enlever. Ainsi je ne peux lancer aucun logiciel, ni aucune application, car, une alerte windows apparait:

"Serveur occupé:
Impossible de terminer cette action car l'autre programme est occupé. Choisissez [i:9a31d9257e]Basculez vers[/i:9a31d9257e] pour activer programme occupé et corriger le problème. "

Jvous aurait bien fait un ptit screen, mais il m'est impossible d'ouvrir Paint, ni quoi que ce soit ...
Notez, que Contraviro me lance des alertes en bas a droite de l'ecran tel que:
[b:9a31d9257e]
You're in Danger ![/b:9a31d9257e]

Virus infection foudt!
Contraviro founds 541 infected files.
You need to clean the PC.


Quelqu'un pourrait-il m'apporter son aide ?
Que dois je faire? Comment ?


Merci d'avance.



PS: Je n'ai pas eteins mon PC. Je peux encore naviguer un peu partout, juste pas ouvrirs de logiciels.
User avatar
keres13
Projets
 
Posts: 119
Joined: Sat Dec 22, 2007 3:21 pm

Postby TorTukiTu » Sun Oct 04, 2009 3:35 pm

hxxp://www.assure-le.com/contraviro

Redémarre en mode sans échec avec prise en charge du réseau pour télécharger smitFraudFix avant de suivre les conseils ci-dessus. Tu supprimera les symptômes.

Ton système est surement compromis par un malware plus nocif. Rien ne garantit que suite à ces manipulations le troyen qui a permis l'installation de contraviro n'est plus actif. La seule solution pour t'en assurer est de formater ton système.

Fais attention lorsque tu télécharges des keygen. Exécute d'abord ces programmes dans un environnement confiné (Sandbox).

la tortue.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby keres13 » Sun Oct 04, 2009 4:26 pm

Ok, ben je te remercie =).

Juste, je n'arrive plus a accede a Windows defender. Et je n'arrive plus a activer le " Centre de securité " ( Alerte: Impossible de demarer le service ).

Sinon, j'ai demarer en mode sans echec, et j'ai fait la commande CHKDSK /f ( a noter que je n'ai pas vu l'etape, l'ecran etait noir, puis j'ai accerde aux menu des sessions ).


Voilà ;)
User avatar
keres13
Projets
 
Posts: 119
Joined: Sat Dec 22, 2007 3:21 pm

Postby IGSTAFF » Sun Oct 04, 2009 5:55 pm

TorTukiTu, as tu plus d'infos sur les sandbox ?

EDIT: ...
http://lmgtfy.com/?q=sandbox
*Sifflote*
IGSTAFF
Projets
 
Posts: 33
Joined: Tue Sep 08, 2009 9:42 pm

Postby TorTukiTu » Sun Oct 04, 2009 7:02 pm

keres 13, pourquoi tu as fait:
[quote:b4ec383a3c]CHKDSK /f ( a noter que je n'ai pas vu l'etape, l'ecran etait noir, puis j'ai accerde aux menu des sessions ). [/quote:b4ec383a3c]

?

C'est pas ton arborescence de fichiers qui est pourrie (je suis un néophyte windaube, je ne suis pas sur de ce que fait chkdsk). En fait, il faut juste que dégages le binaire malveillant et que tu supprimes certaines clés de registre associées.

Pour ce qui est du "centre de sécurité" de windaube, c'est une vaste blague. Il ne sert quasi à rien. Sur mon seul PC où vista est installé, je l'ai désactivé...

Si tu utilises ton pc avant tout pour la navigation, formate et installe linux. T'auras plus à attendre 500 ans que le pc s'allume ou s'éteigne et tu n'auras plus jamais de freeze, ralentissements ou problèmes divers.

Si c'est pour le jeu, pourquoi tu installerai pas ubuntu en dual boot? Tu vas voir, on se fait très très vite au pingouin!

Ah, au fait, pourquoi on rendrait pas Hackbbs inaccessible pour le navigateur "Microdaube Internet Explorer" ? On mettrai un message du genre "Veuillez installer un navigateur libre pour accéder à ce site" avec le lien qui va bien. Vous en pensez quoi?

La tortue.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby baltazare » Sun Oct 04, 2009 9:23 pm

Parce que certain qui vont sur hbbs au boulot, et qui n'ont pas d'autre choix que windows... :?
Non non j'parle pas de moi... :lol: :roll:
User avatar
baltazare
 
Posts: 607
Joined: Mon Sep 03, 2007 10:27 am

Postby keres13 » Mon Oct 05, 2009 5:05 pm

Car, c'est la première chose a laquelle on m'a initié, lorsque j'avais fait un stage dans une entreprise d'informatique l'an dernier ^^.

Merci de tes conseils, j'ai telecharger le logiciel "SmitfraudFIx", fais la recherche et eu mon rapport. Mais, sur certain forums, ils disent que je ne dois pas nettoyer avant d'avoir demander l'avis d'un personne qui s'y connait assez --'.
De plus, je ne comprends pas trop le rapport ^^.
Puis-je le poster ?

j'aimerais bien mettre Linux, mais c'est l'ordinateur familial ^^. En attendant, d'avoir le mien, je n'ai pas le choix --'.
User avatar
keres13
Projets
 
Posts: 119
Joined: Sat Dec 22, 2007 3:21 pm

Postby STEV06 » Tue Oct 06, 2009 7:50 am

[quote:c449d62964="TorTukiTu"]
Ah, au fait, pourquoi on rendrait pas Hackbbs inaccessible pour le navigateur "Microdaube Internet Explorer" ? On mettrai un message du genre "Veuillez installer un navigateur libre pour accéder à ce site" avec le lien qui va bien. Vous en pensez quoi?
[/quote:c449d62964]

haha! Que j'aime cette idée!
Je suis partant!
Et j'ajouterais qu'en plus du message, on mettrait une redirection vers la page de téléchargement de firefox

@keres13
En effet, il vaut mieux ne pas tout nettoyer avant que tu ais posté ton rapport. Vaut mieux avoir plusieurs avis sur le sujet.
Peut-être même que le nettoyage par SmitfraudFIx n'est pas nécessaire :P .

Pour ce qui est du dual-boot Linux, tu peux installer Ubuntu via Wubi! ( c'est un outils très pratique de Ubuntu qui te permet d'installer Linux dans ta partition windows, et se désinstalle comme n'importe quel programme)
Bien sûr, si c'est l'ordi familial, fais-leur un joli exposé sur Linux et ensuite, organise un référendum interne :P
User avatar
STEV06
Projets
 
Posts: 67
Joined: Sat May 30, 2009 5:41 pm

Postby keres13 » Tue Oct 06, 2009 4:58 pm

Je l'avais deja fait ce dual boot =). Mais le problème c'est que le reste de la famille n'appreciait pas le fait d'avoir le choix lors du démarrage du PC entre Vista et Linus.
Je leur ai déjà fait le topo, mais ca n'a aucun intérêt pour eux ^^.

Sinon, je vais poster le rapport:


[code:1:fb8795012b]
SmitFraudFix v2.424

Rapport fait à 18:04:59,99, 05/10/2009
Executé à partir de C:\Users\Kevin\Downloads\SmitfraudFix
OS: Microsoft Windows [version 6.0.6002] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\dlcgcoms.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\FsUsbExService.Exe
C:\Windows\system32\taskeng.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\OLITEC\Moniteur WiFi OLITEC USB\RtlService.exe
C:\Program Files\OLITEC\Moniteur WiFi OLITEC USB\RtWlan.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Program Files\Dell Support Center\bin\sprtsvc.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\serge\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Common Files\Logishrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\DellSupport\DSAgnt.exe
C:\Program Files\Internet Explorer\IELowutil.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\System32\mobsync.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\conime.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Windows\system32\cmd.exe
C:\Windows\notepad.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchFilterHost.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Kevin


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Kevin\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Kevin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Kevin\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="avgrsstx.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: OLITEC USB adaptateur 802.11b/g
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F1407D70-E4B8-4E7C-XXXX-7E4E28EFFFA1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F848574C-A30A-41F2-XXXX-F4C322C21FB7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F848574C-A30A-41F2-XXXX-F4C322C21FB7}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F1407D70-E4B8-4E7C-XXXX-7E4E28EFFFA1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F848574C-A30A-41F2-XXXX-F4C322C21FB7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F848574C-A30A-41F2-XXXX-F4C322C21FB7}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F1407D70-E4B8-4E7C-XXXX-7E4E28EFFFA1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F848574C-A30A-41F2-XXXX-F4C322C21FB7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F848574C-A30A-41F2-XXXX-F4C322C21FB7}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
[/code:1:fb8795012b]
User avatar
keres13
Projets
 
Posts: 119
Joined: Sat Dec 22, 2007 3:21 pm

Postby ELDENTISTE » Wed Oct 07, 2009 9:30 am

[quote:01eb1d8ff3="keres13"]

[code:1:01eb1d8ff3]


C:\Windows\system32\PnkBstrA.exe

C:\Windows\system32\conime.exe
[/code:1:01eb1d8ff3][/quote:01eb1d8ff3]

Renseigne toi sur ces deux exe. Il y en à peut être d'autres je connais pas tout les process de tête :roll:
User avatar
ELDENTISTE
Projets
 
Posts: 15
Joined: Sat May 09, 2009 10:32 am

Postby IGSTAFF » Wed Oct 07, 2009 1:16 pm

[quote:0067a2fe88="TorTukiTu"]Si tu utilises ton pc avant tout pour la navigation, formate et installe linux. T'auras plus à attendre 500 ans que le pc s'allume ou s'éteigne et tu n'auras plus jamais de freeze, ralentissements ou problèmes divers.[/quote:0067a2fe88]
Sans trop vouloir te contredire mais plus pour te corriger, sous ubuntu j'ai totu ça, il est long à charger (en gros, pas beaucoup plus rapide que windows), freeze/ralenti régulièrement (surtout "grace" à FF et Flash).
Et on a aussi des problèmes à l'extinction de la machine.
Mais il n'a rien à envier à Windows, pour moi ca reste beaucoup mieux mais faut pas en rajouter.
IGSTAFF
Projets
 
Posts: 33
Joined: Tue Sep 08, 2009 9:42 pm


Return to Virologie informatique

Who is online

Users browsing this forum: No registered users and 2 guests

cron