Virus "ogaxa"

Question

Bonjour,

Quelqu'un a-t-il déjà eu affaire au virus (worm) "ogaxa.exe" ???

Pouvez-vous m'aider ?

jlpjlp · Answer

slt,


Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

Moozy · Answer

Merci "jlojlp" d'avoir répondu si vite :-)

Je reviens sur le forum dès que j'aurais fait ce que tu indique.

Encore merci.

Moozy · Answer

J'ai fait les opérations que tu as suggérés.
J'ai les 2 fichiers "info.txt" & "log.txt".
Faut-il les poster dans le forum (ils sont très très longs) ou puis-je te les envoyer sur ta boîte ?

jlpjlp · Answer

oui ici en deux messages

Moozy · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by Musbouz at 2010-01-13 18:09:32
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 26 GB (46%) free of 57 GB
Total RAM: 703 MB (43% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:45, on 13/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HPQ\One-Touch\OneTouch.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Musbouz\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Musbouz.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\ProgFilesOld\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin
pjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin
pjpi142.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

jlpjlp · Answer

ok

• Télécharge et installe 
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
https://www.androidworld.fr/

 par El Desaparecido et C_XX



 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

• Au second menu Choisis l'option " 2" suppression   et tape sur [entrée] 

• Laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


_________________________

mettre a jour internet explorer
pour XP
http://download.microsoft.com/...

pour VISTA:
http://download.microsoft.com/download/5/9/8/598CDBFA-4C11-45BA-8283-91439C7B8E5B/IE8-WindowsVista-x86-FRA.exe

_______________________

Mettre a jour java:
https://javara.fr.malavida.com/


Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries. 
Décompresse le fichier sur ton bureau (clique droit > Extraire tout.) 
Double-clique sur le répertoire JavaRa obtenu. 
Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher) 
Clique sur Search For Updates. 
Sélectionne Update Using jucheck.exe puis clique sur Search. 
Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. 
Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions. 
Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. 
Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. 
Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log 
(c:\JavaRa.log) 
Ferme l'application. 

si cela ne fonctionne pas 

https://www.java.com/fr/download/windows_manual.jsp?locale=fr&host=www.java.com:80 

tu peux désinstaller les vieilles versions.

Moozy · Answer

Je suis encore au boulot !
Voila le rapport USBFIX :


############################## | UsbFix V6.049 |

User : Musbouz (Administrateurs) # HOME-COMPAQ
Update on 06/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 19:08:08 | 13/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

   Mobile Intel(R) Pentium(R) 4     CPU 2.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : AVG Anti-Virus 8.5 [ Enabled | (!) Outdated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 55,88 Go (26,04 Go free) # NTFS
D:\ -> Disque CD-ROM # 611,47 Mo (0 Mo free) [Le Visuel] # CDFS
E:\ -> Disque amovible # 31,23 Go (30,99 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 652
C:\WINDOWS\system32\csrss.exe 720
C:\WINDOWS\system32\winlogon.exe 748
C:\WINDOWS\system32\services.exe 792
C:\WINDOWS\system32\lsass.exe 804
C:\WINDOWS\system32\svchost.exe 960
C:\WINDOWS\system32\svchost.exe 1060
C:\WINDOWS\System32\svchost.exe 1100
C:\WINDOWS\system32\svchost.exe 1172
C:\WINDOWS\system32\logonui.exe 1228
C:\WINDOWS\system32\svchost.exe 1304
C:\WINDOWS\system32\spoolsv.exe 1536
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe 1636
C:\Program Files\Bonjour\mDNSResponder.exe 1648
C:\WINDOWS\system32\HPConfig.exe 1684
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe 1720
C:\WINDOWS\system32\PSIService.exe 1836
C:\WINDOWS\system32\svchost.exe 1916
C:\WINDOWS\System32\WLTRYSVC.EXE 1956
C:\WINDOWS\System32\bcmwltry.exe 2000
C:\PROGRA~1\AVG\AVG8\avgemc.exe 284
C:\PROGRA~1\AVG\AVG8\avgam.exe 312
C:\PROGRA~1\AVG\AVG8\avgrsx.exe 328
C:\PROGRA~1\AVG\AVG8\avgnsx.exe 348
C:\Program Files\AVG\AVG8\avgcsrvx.exe 588
C:\WINDOWS\system32\wbem\wmiprvse.exe 692
C:\WINDOWS\system32\userinit.exe 1660
C:\WINDOWS\system32\wscntfy.exe 2064
C:\WINDOWS\Explorer.EXE 2084
C:\WINDOWS\System32\alg.exe 2184

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\sys 
Supprimé ! C:	mp 
Non supprimé ! D:\autorun.inf  
E:\autorun.inf -> fichier appelé : "E:\JYJHA\ZOLAG\ogaxa.exe" ( Présent ! )  
Supprimé ! E:\JYJHA\ZOLAG\ogaxa.exe 
Supprimé ! E:\autorun.inf 

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{05f88480-75e8-11de-9b36-000e7f74dd1c}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{323759e0-b01b-11de-9bbf-000e7f74dd1c}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{323759e1-b01b-11de-9bbf-000e7f74dd1c}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{8d70f2e0-a99d-11de-9ba9-000e7f74dd1c}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{d01c5070-e9b7-11de-9caf-000e7f74dd1c}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[17/02/2009 18:11|--a------|6693] C:\78875.sym 
[10/07/2009 10:28|--a------|92956] C:\aaw7boot.log 
[13/09/2008 14:22|--a------|0] C:\AUTOEXEC.BAT 
[10/07/2009 12:59|---hs----|212] C:\boot.ini 
[09/12/2007 07:16|-rahs----|4952] C:\Bootfont.bin 
[13/09/2008 14:22|--a------|0] C:\CONFIG.SYS 
[03/06/2009 18:02|--a------|1100877] C:\dragon chinois.jpg 
[?|?|?] C:\hiberfil.sys 
[07/11/2007 07:00|--a------|843] C:\install.ini 
[13/09/2008 14:22|-rahs----|0] C:\IO.SYS 
[26/07/2008 18:25|--a------|15984024] C:\JavaRE-windows.exe 
[08/03/2009 10:23|--a------|32768] C:\liste3.doc 
[13/09/2008 14:22|-rahs----|0] C:\MSDOS.SYS 
[09/12/2007 07:16|-rahs----|47564] C:\NTDETECT.COM 
[09/12/2007 07:16|-rahs----|251712] C:
tldr 
[?|?|?] C:\pagefile.sys 
[25/11/2008 12:08|--a------|13030] C:\PDOXUSRS.NET 
[08/06/2009 15:52|--a------|21288] C:\pspbrwse.jbf 
[22/11/2009 12:05|--a------|54486634] C:eg_ok.reg 
[27/05/1998 08:04|--a------|826368] C:\sound32.exe 
[10/07/2009 14:43|--a------|21514] C:\sunjava.log 
[08/02/2009 11:18|--ahs----|19456] C:\Thumbs.db 
[09/01/2010 12:32|---h-----|684123] C:	reeinfo.wc 
[13/01/2010 19:11|--a------|4083] C:\UsbFix.txt 
[30/09/2004 15:12|-r-------|43] D:\Autorun.inf 
[10/12/2003 15:57|-r-------|25214] D:\IcoCD.ico 
[13/10/2004 17:37|-r-------|7794674] D:\Installation.exe 
[13/12/2003 14:16|-r-------|12625] D:\Licence.doc 
[12/10/2004 11:56|-r-------|17920] D:\Lisez-moi.doc 
[23/09/2004 11:39|-r-------|536576] D:\autorun.exe 
[04/11/2003 18:12|-r-h-----|0] D:\spag.bld 
[13/01/2010 18:09|--a------|11032] E:\info.txt 
[13/01/2010 18:09|--a------|20672] E:\log.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# E:\autorun.inf -> Dossier créé par UsbFix.  

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\Musbouz\Bureau\UsbFix_Upload_Me_HOME-COMPAQ.zip : https://www.androidworld.fr/ 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.049 ! |

Virus "ogaxa"

7 réponses

Votre réponse

Discussions similaires

Newsletters