Help, New Malware.u

DreamT -  
 Utilisateur anonyme -
Salut,

McAfee me détecte un cheval de Troie New Malware.u J'ai supprimé tous les fichiers infectés mais il en reste un et impossible de le virer ni de supprimer le fichier

Le fichier infecté est C:\Documents and Settings\Jessi\Application Data\Fragthunk\idol.does.exe

Pouvez vous me donner un p'tit coup de main siouplé ?!

Merci d'avance

DreamT

3 réponses

  1. Utilisateur anonyme
     
    salut DreamT
    télécharge HijackThis ici:
    http://www.hijackthis.de/downloads/hijackthis_199.zip

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (merci à balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Télécharge lopxp ici:

    http://cjoint.com/?kumvZSxxY4

    2) dezippe le (clic droit dessus > extraire tout)
    et lance lopxp.bat
    le bloc note va s'ouvrir, copie et colle le contenu ici

    Bon courage

    A+
    0
    1. DreamT
       
      Merci pour le coup de main !

      Voici le log

      Logfile of HijackThis v1.99.1
      Scan saved at 14:51:31, on 22/10/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
      C:\PROGRA~1\mcafee.com\agent\mcagent.exe
      C:\WINDOWS\system32\VTTimer.exe
      C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
      C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
      c:\progra~1\mcafee.com\vso\mcvsescn.exe
      c:\PROGRA~1\mcafee.com\vso\mcshield.exe
      C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
      C:\Program Files\MessengerPlus! 3\MsgPlus.exe
      C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
      c:\progra~1\intern~1\iexplore.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      c:\progra~1\mcafee.com\vso\mcvsftsn.exe
      C:\Program Files\Windows Media Player\wmplayer.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Hijack This\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.uluxnzuutkauugbgwyyovyegj.com/Q/neI7XYsNelspGRLc8IS66oTYTUxR7hfXH/LVWfgnAGihMMxDoDreIAUm5DUZMQ.html
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {3621B1C3-2B18-D1CB-EAE6-7B5207CDDBF3} - C:\DOCUME~1\Jessi\APPLIC~1\ShowBlue\find ball.exe
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
      O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
      O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
      O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
      O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
      O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
      O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
      O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
      O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
      O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
      O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
      O4 - HKLM\..\Run: [1 DATA AMOK FORK] C:\Documents and Settings\All Users\Application Data\deaf more 1 data\drivecurb.exe
      O4 - HKCU\..\Run: [less mp3] C:\DOCUME~1\Jessi\APPLIC~1\FRAGTH~1\idol does.exe
      O4 - HKCU\..\Run: [Voissa No Pubs] C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe -hide
      O4 - HKCU\..\Run: [Malware Sweeper] C:\Program Files\MalwareSweeper.com\Malware Sweeper\MalSwep.exe
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
      O9 - Extra 'Tools' menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
      O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
      O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105047706495
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
      O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
      O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.servicesalacarte.wanadoo.fr/activex/zylomgamesplayer.cab
      O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{3B023F86-A668-4A29-A9A7-38379AC481C2}: NameServer = 217.19.192.132 217.19.192.131
      O20 - AppInit_DLLs: MsgPlusLoader.dll
      O20 - Winlogon Notify: LBTServ - C:\WINDOWS\
      O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
      O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
      O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
      O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe


      LOPXP :

      Rapport fait à 14:55:55,67 le 22/10/2005

      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 8C3D-40FB

      R‚pertoire de C:\Documents and Settings\All Users\Application Data

      26/09/2005 17:21 <REP> Spybot - Search & Destroy
      10/07/2005 15:33 <REP> UDL
      10/07/2005 12:21 <REP> Prism
      24/06/2005 11:03 <REP> Messenger Plus!
      25/05/2005 20:53 <REP> deaf more 1 data
      18/05/2005 11:51 <REP> Zylom
      06/03/2005 16:16 <REP> Skype
      05/03/2005 11:51 <REP> BVRP Software
      21/02/2005 11:55 <REP> PopCap
      15/01/2005 13:00 <REP> MSN6
      06/01/2005 23:35 <REP> McAfee.com
      06/01/2005 23:14 62 desktop.ini
      06/01/2005 23:14 <REP> Microsoft
      06/01/2005 23:14 <REP> ..
      06/01/2005 23:14 <REP> .
      1 fichier(s) 62 octets
      14 R‚p(s) 50556448768 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 8C3D-40FB

      R‚pertoire de C:\Documents and Settings\Default User\Application Data

      06/01/2005 23:14 62 desktop.ini
      06/01/2005 23:14 <REP> ..
      06/01/2005 23:14 <REP> Microsoft
      06/01/2005 23:14 <REP> .
      1 fichier(s) 62 octets
      3 R‚p(s) 50556448768 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 8C3D-40FB

      R‚pertoire de C:\Documents and Settings\Jessi\Application Data

      14/08/2005 04:30 <REP> ShowBlue
      03/08/2005 15:18 <REP> Lavasoft
      31/05/2005 19:42 <REP> Adobe
      31/05/2005 19:38 <REP> InterTrust
      25/05/2005 20:53 <REP> Fragthunk
      25/04/2005 23:15 <REP> Yahoo!
      05/03/2005 21:02 <REP> Sun
      15/01/2005 13:00 <REP> MSN6
      07/01/2005 12:47 <REP> Macromedia
      06/01/2005 23:32 <REP> Identities
      06/01/2005 23:31 62 desktop.ini
      06/01/2005 23:31 <REP> Microsoft
      06/01/2005 23:31 <REP> .
      06/01/2005 23:31 <REP> ..
      1 fichier(s) 62 octets
      13 R‚p(s) 50556448768 octets libres
      ******************************************
      Recherche des taches planifiées dans C:\WINDOWS\tasks

      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 8C3D-40FB

      R‚pertoire de C:\WINDOWS\Tasks

      13/10/2005 22:49 262 2B6EEBAC8015F47C.job
      29/04/2005 07:13 512 Recherche de mises … jour sur McAfee.com (JESSICA-FLEURET-Autre).job
      06/01/2005 23:35 512 Recherche de mises … jour sur McAfee.com (JESSICA-FLEURET-Jessi).job
      06/01/2005 23:26 6 SA.DAT
      06/01/2005 23:23 65 desktop.ini
      06/01/2005 23:23 <REP> ..
      06/01/2005 23:23 <REP> .
      5 fichier(s) 1ÿ357 octets
      2 R‚p(s) 50ÿ556ÿ436ÿ480 octets libres

      ******************************************
      Recherche dans Program files

      Le dossier C:\Program Files\C2Media n'existe pas

      *************** Fin du rapport ****************
      0
  2. Utilisateur anonyme
     
    Bonjour,

    Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.

    1/Telecharge ceci: Clean Up 40:
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    -aide en image:(merci à Balltrap34).
    http://pageperso.aol.fr/balltrap34/democleanup.htm

    Déconnecte toi d'Internet et ferme tout les programmes en cours.

    Redémarre en mode sans échec
    Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.
    (Si F8 ne marche pas, essai F5)

    Rend visible les fichiers cachés et système
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur [do a system scan only]
    cocher la case au début des lignes suivantes:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.uluxnzuutkauugbgwyyovyegj.com/Q/neI7XYsNelspGRLc8IS66oTYTUxR7hfXH/LVWfgnAGihMMxDoDreIAUm5DUZMQ.html

    O2 - BHO: (no name) - {3621B1C3-2B18-D1CB-EAE6-7B5207CDDBF3} - C:\DOCUME~1\Jessi\APPLIC~1\ShowBlue\find ball.exe

    O4 - HKLM\..\Run: [1 DATA AMOK FORK] C:\Documents and Settings\All Users\Application Data\deaf more 1 data\drivecurb.exe

    O20 - Winlogon Notify: LBTServ - C:\WINDOWS\

    valider en cliquant sur le bouton [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Recherche et supprime ces dossiers:

    Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

    S'ils sont présents, supprime:

    C:\Documents and Settings\All Users\Application Data\deaf more 1 data
    C:\Documents and Settings\Jessi\Application Data\ShowBlue

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite fais Démarrer > exécuter et tape cmd
    puis valide avec ok

    dans la fenêtre qui va s'ouvrir, copie et colle ceci:

    del /a C:\WINDOWS\tasks\2B6EEBAC8015F47C.job

    et valide en appuyant sur entrée

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite, très important:

    :: Supprimer les fichiers temporaires ::

    Exécute cleanup40.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Redémarre normalement et reposte un Hijackthis sur le poste…

    Précises moi ou en sont tes soucis…

    A+
    0
    1. DreamT
       
      Ouf j'ai réussi à venir à bout de cette saloperie !

      Merki boukou !
      0
  3. Utilisateur anonyme
     
    salut
    je suis content pour toi
    reactive ta restauration systeme+recache tes fichiers caches

    bon dimanche
    0