Sujet Précédent Sujet Suivant

[virus] Exploit.VBS.Phel.A

Fermé
kamoulox31 Messages postés 14 Date d'inscription samedi 31 juillet 2004 Statut Membre Dernière intervention 7 janvier 2006 - 6 janv. 2006 à 23:35
kamoulox31 Messages postés 14 Date d'inscription samedi 31 juillet 2004 Statut Membre Dernière intervention 7 janvier 2006 - 7 janv. 2006 à 17:34
Bonsoir,
J'ai chopé un sale truc aujourd'hui, et je n'arrive pas en m'en défaire

Dès que j'ouvre un navigateur, que ce soit IE ou Firefox (1.5), que je clic le moindre truc (la plupart du temps), BitDefender me trouve des fichiers infectés :

exploit.VBS.Phel.A

Donc sous IE, il me trouve dans :
c:\documents and settings\m'timah\local settings\temporary internet files\content.ie5\s50rgb2b\home.free[1].htm
et sous Firefox :
c:\documents and settings\m'timah\local settings\application data\mozilla\firefox\profiles\8nx0y5t3.default\cache\_cache_003_=>(javascript 1) >> de même pour javascript 10

En fait, il doit m'infester chaque pages que je parcours

j'ai nettoyé ma base de registre avec cCleaner, j'ai utilisé BPS Spyware&Malware, Spybot, regCleaner, fait un nettoyage de disque, vidé mes temp (doc settings et temp de windows), effacé les cookies... bref j'ai tout fait dans le genre
inutile de dire que l'antivirus ne peux trouver le problème en amont
comme je disais, c'est dès que je fais fonctionner le navigateur. Avant, je ne trouve rien (car pas actif), et pendant, bin je trouve juste dans les fichiers web en cours d'utilisation

je suis dans une impasse....
A voir également:

9 réponses

Réponse 1 / 9
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 387
6 janv. 2006 à 23:43
pour firefox essaye d'installer une extention qui s'appelle no script

ca fonctionne tres simplement : tous les scrpits des pages que tu consultes sont desactives (javascripts ) ca empeche donc les scripts malicieux de s'activer

ensuite tu peut bien sur autoriser les sites que tu desires a lire les javascripts et donc creer une liste de site autorisé

https://addons.mozilla.org/extensions/?application={ec8030f7-c20a-464f-9b0e-13a3a9e97384}


cette extention renforce la securité de ton navigateur

0
Réponse 2 / 9
kamoulox31 Messages postés 14 Date d'inscription samedi 31 juillet 2004 Statut Membre Dernière intervention 7 janvier 2006
6 janv. 2006 à 23:46
thanks
mais disons que c'est une façon de contourner le problème en attendant
Ya quand même un code qui traine dans mon ordi et j'aime pas çà
0
Réponse 3 / 9
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 387
6 janv. 2006 à 23:52
met un hijackthis on verra ce qu'on y voit
0
Réponse 4 / 9
kamoulox31 Messages postés 14 Date d'inscription samedi 31 juillet 2004 Statut Membre Dernière intervention 7 janvier 2006
6 janv. 2006 à 23:58
j'ai fait un scan sans chercher à comprendre, je sais pas s'il faut activer des options avancées ou non
c'est un peu barbare j'imagine

_________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 23:54:38, on 06/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Asus Probe\AsusProb.exe
C:\PROGRA~1\BITDEF~1\bdmcon.exe
E:\Daemon Tools\daemon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\KPF4\Personal Firewall 4\kpf4ss.exe
E:\Acrobat Reader 6 Pro\Distillr\acrotray.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\KPF4\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\BitDefender Professional Edition\vsserv.exe
C:\Program Files\KPF4\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
E:\Mozilla Firefox\firefox.exe
F:\DOWNLOAD\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader 6 Pro\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat Reader 6 Pro\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat Reader 6 Pro\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix /autoclose /waitstart
O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = E:\Acrobat Reader 6 Pro\Distillr\acrotray.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\KPF4\Personal Firewall 4\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\BitDefender Professional Edition\vsserv.exe
O23 - Service: wampapache - Unknown owner - E:\wamp5\apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: wampmysqld - Unknown owner - E:\wamp5\mysql\bin\mysqld-nt.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
kamoulox31 Messages postés 14 Date d'inscription samedi 31 juillet 2004 Statut Membre Dernière intervention 7 janvier 2006
7 janv. 2006 à 00:08
Je vous propsoe un petit historique de la chose :

1. install framework microsoft + mise à jour critique
2. install firefox 1.5 + un skin
3. install Sage (extension RSS de firefox )... puis désinstall
4. install WebBulle (agrégateur RSS en local)

là, j'ai tout désinstallé, sauf firefox
0
Réponse 6 / 9
kamoulox31 Messages postés 14 Date d'inscription samedi 31 juillet 2004 Statut Membre Dernière intervention 7 janvier 2006
7 janv. 2006 à 00:22
un autre indice aussi, que je viens de découvrir,
à chaque fois que je veux revenir à la page précédente, en utilisant le bouton approprié du navigateur, celui-ci m'affiche ce message (le fichier mentionné est biensur en fonction du site en cours) :
____________________
Fichier introuvable
Firefox ne peut trouver le fichier à l'adresse /forum/index.php3?cat=7.
* Vérifiez la syntaxe du nom de fichier (dont le respect des minuscules/majuscules) ;
* Vérifiez si le fichier n'a pas été déplacé, renommé ou supprimé.
_______________________

Je suis dessus depuis plus de 4h et j'ai mal à la tête.. vais me coucher
Que je serais heureux d'avoir un suggestion demain au lever
merci d'avance
0
Réponse 7 / 9
kamoulox31 Messages postés 14 Date d'inscription samedi 31 juillet 2004 Statut Membre Dernière intervention 7 janvier 2006
7 janv. 2006 à 16:57
çà vous inspire pas à ce que je vois

ben13010, mon log il te parle ?

. j'ai installé adware + mise à jour
. débranché le net
. désactivé la restauration
. démarré sans échec
. passé tous les anti-machins, à savoir spybot, adware, BPS adware, cCleaner, RegCleaner, fait hijackthis (où j'ai retiré quelques trucs)
. recréer un point de restauration
. et rebrancher le net puis renaviguer pour découvrir que le problème était toujours là

aussi, aurais-je mal fait une manipulation ?

je rebalance le dernier log hijackthis :
_____________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 16:34:56, on 07/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\KPF4\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\KPF4\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BitDefender Professional Edition\vsserv.exe
C:\Program Files\KPF4\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Asus Probe\AsusProb.exe
C:\PROGRA~1\BITDEF~1\bdmcon.exe
E:\Daemon Tools\daemon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\Acrobat Reader 6 Pro\Distillr\acrotray.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader 6 Pro\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat Reader 6 Pro\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat Reader 6 Pro\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix /autoclose /waitstart
O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = E:\Acrobat Reader 6 Pro\Distillr\acrotray.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\KPF4\Personal Firewall 4\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\BitDefender Professional Edition\vsserv.exe
O23 - Service: wampmysqld - Unknown owner - E:\wamp5\mysql\bin\mysqld-nt.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
_____________________________________________

dite moi au moins si vous suspecter un truc, et pareil si vous ne voyez pas
merci
0
Réponse 8 / 9
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 387
7 janv. 2006 à 17:04
il est clean ton rapport

ca devrai etre une bonne nouvelle !

si tous les rapports etaient aussi propre que le tien , ca serais cool
0
Réponse 9 / 9
kamoulox31 Messages postés 14 Date d'inscription samedi 31 juillet 2004 Statut Membre Dernière intervention 7 janvier 2006
7 janv. 2006 à 17:34
bin je vais me pendre alors........
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses