[WORM] Ordi infecté par IRCBot.PY
bobmohrane
-
Kristopher Messages postés 3752 Statut Contributeur -
Kristopher Messages postés 3752 Statut Contributeur -
Salut,
Antivir me détecte IRCBot.PY à chaque lancement de windows XP mais n'arrive pas à le supprimer ou le mettre en quanrantaine. Il ne le détecte pas si je faits un scan des disques...
QQ'un a une solution?
++
Antivir me détecte IRCBot.PY à chaque lancement de windows XP mais n'arrive pas à le supprimer ou le mettre en quanrantaine. Il ne le détecte pas si je faits un scan des disques...
QQ'un a une solution?
++
A voir également:
- [WORM] Ordi infecté par IRCBot.PY
- Ordi qui rame - Guide
- Comment reinitialiser un ordi - Guide
- Ordi scrabble - Télécharger - Jeux vidéo
- Ecran ordi a l'envers - Guide
- Mon ordi ne reconnait pas ma clé usb - Guide
4 réponses
Hello,
~~ Fais ceci dans l'ordre ~~
1/ Télécharge et scanne ton PC avec Ewido Security Suite : http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/31851.html
Copie/colle le rapport sur le forum.
2/ Scanne ton PC avec cet antivirus en ligne :
http://www.bitdefender.com/scan8/ie.html
Clique sur "I Agree" et scanne tout le PC.
Pense à accepter l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).
Copie/colle le rapport sur le forum.
3/ Télécharge HijackThis : http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/29061.html
- Installe le dans son propre dossier.
Par exemple, C:\HijackThis
Choisis l'option "do a scan and a logfile", il va te générer un rapport, copie et colle sur le forum.
Regarde la démo : http://pageperso.aol.fr/balltrap34/demohijack.htm
Bon courage.
++
~~ Fais ceci dans l'ordre ~~
1/ Télécharge et scanne ton PC avec Ewido Security Suite : http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/31851.html
Copie/colle le rapport sur le forum.
2/ Scanne ton PC avec cet antivirus en ligne :
http://www.bitdefender.com/scan8/ie.html
Clique sur "I Agree" et scanne tout le PC.
Pense à accepter l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).
Copie/colle le rapport sur le forum.
3/ Télécharge HijackThis : http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/29061.html
- Installe le dans son propre dossier.
Par exemple, C:\HijackThis
Choisis l'option "do a scan and a logfile", il va te générer un rapport, copie et colle sur le forum.
Regarde la démo : http://pageperso.aol.fr/balltrap34/demohijack.htm
Bon courage.
++
Voilà ce qu'a trouvé bitdefender
C:\Documents and Settings\ordi\.housecall\Quarantine\sploit[1].anr.bac_a03208=>(Quarantine-4)
Infected with: Exploit.Win32.MS05-002.Gen
C:\Documents and Settings\ordi\.housecall\Quarantine\sploit[1].anr.bac_a03208=>(Quarantine-4)
Disinfection failed
C:\Documents and Settings\ordi\.housecall\Quarantine\sploit[1].anr.bac_a03208=>(Quarantine-4)
Deleted
C:\Documents and Settings\ordi\.housecall\Quarantine\sploit[1].anr.bac_a03208=>(Quarantine-4)
Infected with: Exploit.Win32.MS05-002.Gen
C:\Documents and Settings\ordi\.housecall\Quarantine\sploit[1].anr.bac_a03208=>(Quarantine-4)
Disinfection failed
C:\Documents and Settings\ordi\.housecall\Quarantine\sploit[1].anr.bac_a03208=>(Quarantine-4)
Deleted
bob,
1/ Coche et fixe ces lignes :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
O4 - Startup: PowerReg Scheduler V3.exe>
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)
2/ Cherche et efface ces fichiers si tu les trouves :
PowerReg Scheduler V3.exe
nvsvcd.exe
3/ Télécharge le logiciel SmitfraudFix crée par les pros de ce forum :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip et décompresse le.
- Exécute le, Double clic sur "Smitfraudfix.cmd", choisit l’option 1, il va générer un rapport.
Copie et colle le sur le forum.
Ensuite
Fais cette manipulation :
- Redémarre le PC en mode "sans échec" : tu tapotes sur la touche F8 de ton clavier (ou bien F5 selon la version de Windows) et tu choisis le mode "sans échec".
- Tu relances SmitfraudFix cette fois-ci en choisissant l'option 2 et tu réponds oui à tout.
Colle le nouveau rapport ensuite.
4/ Envoie un nouveau log HijackThis.
++
1/ Coche et fixe ces lignes :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
O4 - Startup: PowerReg Scheduler V3.exe>
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)
2/ Cherche et efface ces fichiers si tu les trouves :
PowerReg Scheduler V3.exe
nvsvcd.exe
3/ Télécharge le logiciel SmitfraudFix crée par les pros de ce forum :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip et décompresse le.
- Exécute le, Double clic sur "Smitfraudfix.cmd", choisit l’option 1, il va générer un rapport.
Copie et colle le sur le forum.
Ensuite
Fais cette manipulation :
- Redémarre le PC en mode "sans échec" : tu tapotes sur la touche F8 de ton clavier (ou bien F5 selon la version de Windows) et tu choisis le mode "sans échec".
- Tu relances SmitfraudFix cette fois-ci en choisissant l'option 2 et tu réponds oui à tout.
Colle le nouveau rapport ensuite.
4/ Envoie un nouveau log HijackThis.
++
Voici le rapport ewido (le reste est en cours)
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 13:51:13, 19/03/2006
+ Somme de contrôle: 7A3E1816
+ Résultats du scan:
C:\WINDOWS\system32\netf.dll -> Backdoor.IRCBot.nw : Nettoyer et sauvegarder
C:\WINDOWS\system32\nvsvcd.exe -> Backdoor.IRCBot.nw : Nettoyer et sauvegarder
:mozilla.6:C:\Documents and Settings\ordi\Application Data\Mozilla\Profiles\default\85t446zg.slt\cookies.txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
:mozilla.15:C:\Documents and Settings\ordi\Application Data\Mozilla\Profiles\default\85t446zg.slt\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.16:C:\Documents and Settings\ordi\Application Data\Mozilla\Profiles\default\85t446zg.slt\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.17:C:\Documents and Settings\ordi\Application Data\Mozilla\Profiles\default\85t446zg.slt\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.18:C:\Documents and Settings\ordi\Application Data\Mozilla\Profiles\default\85t446zg.slt\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
:mozilla.19:C:\Documents and Settings\ordi\Application Data\Mozilla\Profiles\default\85t446zg.slt\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
:mozilla.20:C:\Documents and Settings\ordi\Application Data\Mozilla\Profiles\default\85t446zg.slt\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
:mozilla.21:C:\Documents and Settings\ordi\Application Data\Mozilla\Profiles\default\85t446zg.slt\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
:mozilla.26:C:\Documents and Settings\ordi\Application Data\Mozilla\Profiles\default\85t446zg.slt\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder
:mozilla.27:C:\Documents and Settings\ordi\Application Data\Mozilla\Profiles\default\85t446zg.slt\cookies.txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
:mozilla.28:C:\Documents and Settings\ordi\Application Data\Mozilla\Profiles\default\85t446zg.slt\cookies.txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Program Files\NoAdware4\noadwareutils.dll -> Adware.WebRebates : Nettoyer et sauvegarder
::Fin du rapport
Le scan de BitDefender est aussi important.
a+
Bidefender ça prend des plombes, mon disque C est bien rempli ;o)
Logfile of HijackThis v1.99.1
Scan saved at 14:17:46, on 19/03/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\umonit.exe
C:\Luna3\App\bin\Luna.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\mozilla.org\SeaMonkey\SeaMonkey.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\ordi\Bureau\VRAC\TEMP\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\graph\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
O4 - HKLM\..\Run: [InitPulsar] "C:\Luna3\App\bin\Luna.exe" -s
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SeaMonkey Quick Launch] "C:\Program Files\mozilla.org\SeaMonkey\SeaMonkey.exe" -turbo
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\GRAPH\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131301256609
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Program Files\Fichiers communs\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\GRAPH\Alias\Maya7.0\docs\wrapper.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)