Java.Exploit.CVE-2010-0840.H [Résolu/Fermé]

Signaler
Messages postés
14
Date d'inscription
dimanche 1 mai 2011
Statut
Membre
Dernière intervention
22 décembre 2011
-
 Utilisateur anonyme -
Bonjour,

Suite à un scan avec Bitdefender, le virus Java.Exploit.CVE-2010-0840.H a été trouvé. Comme il est impossible de le supprimer via Bitdefender ou de le mettre en quarantaine, quelqu'un pourrait-il me donner à marche à suivre pour supprimer ce virus?

Merci beaucoup!

26 réponses


salut ton windows n est pas à jour

si tu n'as pas update 30 de java , desinstalle java

=====================

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné affiche les extensions des fichiers et renomme-le winlogon.exe , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
Messages postés
14
Date d'inscription
dimanche 1 mai 2011
Statut
Membre
Dernière intervention
22 décembre 2011

Merci, je vais suivre les instruction, mais comment je peux savoir si j'ai l'update 30 de java?

ben tu regardes la version qui est installée dans ton ordi
Messages postés
14
Date d'inscription
dimanche 1 mai 2011
Statut
Membre
Dernière intervention
22 décembre 2011


firefox à mettre à jour absolument !

=======

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\fsivba.dll

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

============

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"iTunesHelper"=-
"TkBellExe"=-
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Application Layer Gateway]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-

txt::
c:\WINDOWSdun.bat

file::
C:\Program Files\Fichiers communs\alg.exe
C:\Documents and Settings\All Users\Application Data\PKP_DLbx.DAT
C:\Documents and Settings\All Users\Application Data\PKP_DLbz.DAT
C:\Documents and Settings\All Users\Application Data\PKP_DLdu.DAT
C:\Documents and Settings\All Users\Application Data\PKP_DLdw.DAT
C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT
C:\Program Files\install_flash_player_ax.exe

folder::
C:\4d4d76e2940fab468603e9140b60
C:\7099f76beb375a6276
C:\fb2d0331001e89fb9df192d0

attrib::

clean::

Reboot::

___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
Messages postés
14
Date d'inscription
dimanche 1 mai 2011
Statut
Membre
Dernière intervention
22 décembre 2011

Voici le lien de la page pour virus total;

http://www.virustotal.com/file-scan/report.html?id=5743be7b0e3320056c494eb5255cab78b92a7942c2c7f2480c0420b9d543dc93-1324324515

Je vais lancer pre_script

Merci!

ok
Messages postés
14
Date d'inscription
dimanche 1 mai 2011
Statut
Membre
Dernière intervention
22 décembre 2011

Voici le pre_script;

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.125 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mise à jour : 12/12/2011 | 15.00 Par g3n-h@ckm@n
Utilisateur : Utilisateur (Administrateurs)
Ordinateur : MAIN
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 8.0.6001.18702
Mozilla Firefox : 3.6.13 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
attrib:: | txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill:: | clean::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
Tray::

Script : 15:08:53

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Absent : C:\Program Files\Fichiers communs\alg.exe
Supprimé : C:\Documents and Settings\All Users\Application Data\PKP_DLbx.DAT
Supprimé : C:\Documents and Settings\All Users\Application Data\PKP_DLbz.DAT
Supprimé : C:\Documents and Settings\All Users\Application Data\PKP_DLdu.DAT
Supprimé : C:\Documents and Settings\All Users\Application Data\PKP_DLdw.DAT
Supprimé : C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT
Supprimé : C:\Program Files\install_flash_player_ax.exe

¤

D:\
cd\
cd\\DUN\francais\
dunnow.exe -Uvlnipucv -Ppicassos -T5145992743 -EVideotron-MTL

¤

Supprimé : C:\4d4d76e2940fab468603e9140b60
Supprimé : C:\7099f76beb375a6276
Supprimé : C:\fb2d0331001e89fb9df192d0

¤

Disques externes : 0 Objets réattribués
Disque Local : 14 Objets réattribués
Utilisateurs : 0 Objets réattribués
ProgramFiles : 12 Objets réattribués
Music : 0 Objets réattribués
Pictures : 0 Objets réattribués
Videos : 0 Objets réattribués
Downloads : 0 Objets réattribués
Desktop : 0 Objets réattribués
Links : 0 Objets réattribués
Searches : 0 Objets réattribués
Contacts : 0 Objets réattribués
Saved Games : 0 Objets réattribués
Favorites : 0 Objets réattribués
Documents : 0 Objets réattribués
Windows : 336 Objets réattribués
StartMenu : 0 Objets réattribués
Librairies : 0 Objets réattribués
Quick Launch : 0 Objets réattribués
%AppData% : 99 Objets réattribués

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 15:11:58

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

Merci!

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Messages postés
14
Date d'inscription
dimanche 1 mai 2011
Statut
Membre
Dernière intervention
22 décembre 2011

Désolé pour les délai, pour arranger les choses, on a eu une panne d'électricité!

Voici donc le rapport de Malwarebytes qui n'a rien trouvé d'infecté;

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8399

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2011-12-20 12:37:41
mbam-log-2011-12-20 (12-37-41).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 316847
Temps écoulé: 1 heure(s), 33 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



J'ai aussi une question lorsque j'allume l'ordinateur Windows part une procédure de vérification du système de fichiers sur C:. C'est inscrit que l'intégrité de l'un des disques doit être vérifié. Je arrêté la procédure jusqu'ici, ne sachant pas trop si c'était correct ou pas... Est-ce que je dois laisser la procédure se faire?

Merci!

mets windows à jour
mets internet explorer à jour

============================

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT


▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens
Messages postés
14
Date d'inscription
dimanche 1 mai 2011
Statut
Membre
Dernière intervention
22 décembre 2011

j'avais pas vu ton message precedent à la fin

oui laisse-le verifier
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Messages postés
14
Date d'inscription
dimanche 1 mai 2011
Statut
Membre
Dernière intervention
22 décembre 2011

OK merci et pour les rapports de OTL est-ce que tout est OK?

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

:Files
C:\WINDOWS\System32\wsbl.dat
C:\WINDOWS\System32\phar*.dat
C:\WINDOWS\System32\ph_*.dat
C:\WINDOWS\System32\pcword*.dat
C:\WINDOWS\System32\pc_*.dat

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
Messages postés
14
Date d'inscription
dimanche 1 mai 2011
Statut
Membre
Dernière intervention
22 décembre 2011

Voici le rapport;

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Prefs.js: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 removed from extensions.enabledItems
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ deleted successfully.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
C:\WINDOWS\Downloaded Program Files\gp.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
========== FILES ==========
C:\WINDOWS\System32\wsbl.dat moved successfully.
C:\WINDOWS\System32\phar_histprot.dat moved successfully.
C:\WINDOWS\System32\phar_unmip.dat moved successfully.
C:\WINDOWS\System32\ph_black.dat moved successfully.
C:\WINDOWS\System32\ph_summ.dat moved successfully.
C:\WINDOWS\System32\ph_white.dat moved successfully.
C:\WINDOWS\System32\pcwords.dat moved successfully.
C:\WINDOWS\System32\pcwords2.dat moved successfully.
C:\WINDOWS\System32\pc_drugs.dat moved successfully.
C:\WINDOWS\System32\pc_gambling.dat moved successfully.
C:\WINDOWS\System32\pc_games.dat moved successfully.
C:\WINDOWS\System32\pc_hate.dat moved successfully.
C:\WINDOWS\System32\pc_illegal.dat moved successfully.
C:\WINDOWS\System32\pc_im.dat moved successfully.
C:\WINDOWS\System32\pc_news.dat moved successfully.
C:\WINDOWS\System32\pc_onlinedating.dat moved successfully.
C:\WINDOWS\System32\pc_onlinepay.dat moved successfully.
C:\WINDOWS\System32\pc_onlineshop.dat moved successfully.
C:\WINDOWS\System32\pc_pornography.dat moved successfully.
C:\WINDOWS\System32\pc_regionaltlds.dat moved successfully.
C:\WINDOWS\System32\pc_searchengines.dat moved successfully.
C:\WINDOWS\System32\pc_socialnetworks.dat moved successfully.
C:\WINDOWS\System32\pc_tabloids.dat moved successfully.
C:\WINDOWS\System32\pc_video.dat moved successfully.
C:\WINDOWS\System32\pc_webproxy.dat moved successfully.
========== COMMANDS ==========
Restore points cleared and new OTL Restore Point set!

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1162279 bytes

User: Utilisateur
->Temp folder emptied: 2638402 bytes
->Temporary Internet Files folder emptied: 70891270 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 28649351 bytes
->Flash cache emptied: 1180 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 68024 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 103715195 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 198,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 12202011_185604

Files\Folders moved on Reboot...
C:\WINDOWS\temp\Perflib_Perfdata_cf4.dat moved successfully.

Registry entries deleted on Reboot...

ok et pour ta verif des fichiers qu'en dit-il ?
Messages postés
14
Date d'inscription
dimanche 1 mai 2011
Statut
Membre
Dernière intervention
22 décembre 2011

J'ai laissé roulé, Windows a corrigé des choses, mais je n'ai pas eu le temps de lire la liste de ce qu'il a fait!

Pour le reste, est-ce que tout est ok maintenant?

ca a l'air tu n'as plus de soucis apparents ?
Messages postés
14
Date d'inscription
dimanche 1 mai 2011
Statut
Membre
Dernière intervention
22 décembre 2011

Tout semble bien aller apparemment!

Encore une fois, merci beaucoup pour ton aide si précieuse, tu m'avais aussi aidé avec succès l'an dernier, à la même époque de l'année!

Merci encore et je te souhaite de très Joyeuses Fêtes!