Java.Exploit.CVE-2010-0840.H

Résolu
123cmoi Messages postés 14 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

Suite à un scan avec Bitdefender, le virus Java.Exploit.CVE-2010-0840.H a été trouvé. Comme il est impossible de le supprimer via Bitdefender ou de le mettre en quarantaine, quelqu'un pourrait-il me donner à marche à suivre pour supprimer ce virus?

Merci beaucoup!

26 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut ton windows n est pas à jour

    si tu n'as pas update 30 de java , desinstalle java

    =====================

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    ou encore cette version renommée : Winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné affiche les extensions des fichiers et renomme-le winlogon.exe , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
  2. 123cmoi Messages postés 14 Statut Membre
     
    Merci, je vais suivre les instruction, mais comment je peux savoir si j'ai l'update 30 de java?
    0
  3. g3n-h@ckm@n
     
    ben tu regardes la version qui est installée dans ton ordi
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. g3n-h@ckm@n
     
    firefox à mettre à jour absolument !

    =======

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    C:\WINDOWS\fsivba.dll

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

    ============

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"=-
    "iTunesHelper"=-
    "TkBellExe"=-
    [-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Application Layer Gateway]
    [-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck]
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
    "{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-

    txt::
    c:\WINDOWSdun.bat

    file::
    C:\Program Files\Fichiers communs\alg.exe
    C:\Documents and Settings\All Users\Application Data\PKP_DLbx.DAT
    C:\Documents and Settings\All Users\Application Data\PKP_DLbz.DAT
    C:\Documents and Settings\All Users\Application Data\PKP_DLdu.DAT
    C:\Documents and Settings\All Users\Application Data\PKP_DLdw.DAT
    C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT
    C:\Program Files\install_flash_player_ax.exe

    folder::
    C:\4d4d76e2940fab468603e9140b60
    C:\7099f76beb375a6276
    C:\fb2d0331001e89fb9df192d0

    attrib::

    clean::

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
  6. 123cmoi Messages postés 14 Statut Membre
     
    Voici le lien de la page pour virus total;

    http://www.virustotal.com/file-scan/report.html?id=5743be7b0e3320056c494eb5255cab78b92a7942c2c7f2480c0420b9d543dc93-1324324515

    Je vais lancer pre_script

    Merci!
    0
  7. 123cmoi Messages postés 14 Statut Membre
     
    Voici le pre_script;

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.125 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

    Mise à jour : 12/12/2011 | 15.00 Par g3n-h@ckm@n
    Utilisateur : Utilisateur (Administrateurs)
    Ordinateur : MAIN
    Système d'exploitation : Microsoft Windows XP (32 bits)
    Internet Explorer : 8.0.6001.18702
    Mozilla Firefox : 3.6.13 (fr)

    Switchs possibles :

    processes:: | file:: | folder:: | Registry::
    Driver:: | replace:: | DNS:: | Command::
    attrib:: | txt:: | Host:: | NsLook::
    list:: | IP:: | ADS:: | Kill:: | clean::
    Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
    Tray::

    Script : 15:08:53

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Modification du registre effectuée

    ¤

    Absent : C:\Program Files\Fichiers communs\alg.exe
    Supprimé : C:\Documents and Settings\All Users\Application Data\PKP_DLbx.DAT
    Supprimé : C:\Documents and Settings\All Users\Application Data\PKP_DLbz.DAT
    Supprimé : C:\Documents and Settings\All Users\Application Data\PKP_DLdu.DAT
    Supprimé : C:\Documents and Settings\All Users\Application Data\PKP_DLdw.DAT
    Supprimé : C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT
    Supprimé : C:\Program Files\install_flash_player_ax.exe

    ¤

    D:\
    cd\
    cd\\DUN\francais\
    dunnow.exe -Uvlnipucv -Ppicassos -T5145992743 -EVideotron-MTL

    ¤

    Supprimé : C:\4d4d76e2940fab468603e9140b60
    Supprimé : C:\7099f76beb375a6276
    Supprimé : C:\fb2d0331001e89fb9df192d0

    ¤

    Disques externes : 0 Objets réattribués
    Disque Local : 14 Objets réattribués
    Utilisateurs : 0 Objets réattribués
    ProgramFiles : 12 Objets réattribués
    Music : 0 Objets réattribués
    Pictures : 0 Objets réattribués
    Videos : 0 Objets réattribués
    Downloads : 0 Objets réattribués
    Desktop : 0 Objets réattribués
    Links : 0 Objets réattribués
    Searches : 0 Objets réattribués
    Contacts : 0 Objets réattribués
    Saved Games : 0 Objets réattribués
    Favorites : 0 Objets réattribués
    Documents : 0 Objets réattribués
    Windows : 336 Objets réattribués
    StartMenu : 0 Objets réattribués
    Librairies : 0 Objets réattribués
    Quick Launch : 0 Objets réattribués
    %AppData% : 99 Objets réattribués

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

    Nettoyage du disque effectué

    ¤

    Fin : 15:11:58

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

    Merci!
    0
  8. g3n-h@ckm@n
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  9. 123cmoi Messages postés 14 Statut Membre
     
    Désolé pour les délai, pour arranger les choses, on a eu une panne d'électricité!

    Voici donc le rapport de Malwarebytes qui n'a rien trouvé d'infecté;

    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 8399

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    2011-12-20 12:37:41
    mbam-log-2011-12-20 (12-37-41).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 316847
    Temps écoulé: 1 heure(s), 33 minute(s), 19 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    J'ai aussi une question lorsque j'allume l'ordinateur Windows part une procédure de vérification du système de fichiers sur C:. C'est inscrit que l'intégrité de l'un des disques doit être vérifié. Je arrêté la procédure jusqu'ici, ne sachant pas trop si c'était correct ou pas... Est-ce que je dois laisser la procédure se faire?

    Merci!
    0
  10. g3n-h@ckm@n
     
    mets windows à jour
    mets internet explorer à jour

    ============================

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    CREATERESTOREPOINT


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens
    0
  11. g3n-h@ckm@n
     
    j'avais pas vu ton message precedent à la fin

    oui laisse-le verifier
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  12. 123cmoi Messages postés 14 Statut Membre
     
    OK merci et pour les rapports de OTL est-ce que tout est OK?
    0
  13. g3n-h@ckm@n
     
    ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous "Personnalisation" :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :OTL
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
    FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
    FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

    :Files
    C:\WINDOWS\System32\wsbl.dat
    C:\WINDOWS\System32\phar*.dat
    C:\WINDOWS\System32\ph_*.dat
    C:\WINDOWS\System32\pcword*.dat
    C:\WINDOWS\System32\pc_*.dat

    :commands
    [CLEARALLRESTOREPOINTS]
    [emptytemp]
    [start explorer]
    [reboot]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
    0
  14. 123cmoi Messages postés 14 Statut Membre
     
    Voici le rapport;

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    Process iexplore.exe killed successfully!
    No active process named firefox.exe was found!
    No active process named msnmsgr.exe was found!
    No active process named Teatimer.exe was found!
    ========== OTL ==========
    Prefs.js: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17 removed from extensions.enabledItems
    Prefs.js: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 removed from extensions.enabledItems
    Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ deleted successfully.
    Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
    C:\WINDOWS\Downloaded Program Files\gp.inf not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
    ========== FILES ==========
    C:\WINDOWS\System32\wsbl.dat moved successfully.
    C:\WINDOWS\System32\phar_histprot.dat moved successfully.
    C:\WINDOWS\System32\phar_unmip.dat moved successfully.
    C:\WINDOWS\System32\ph_black.dat moved successfully.
    C:\WINDOWS\System32\ph_summ.dat moved successfully.
    C:\WINDOWS\System32\ph_white.dat moved successfully.
    C:\WINDOWS\System32\pcwords.dat moved successfully.
    C:\WINDOWS\System32\pcwords2.dat moved successfully.
    C:\WINDOWS\System32\pc_drugs.dat moved successfully.
    C:\WINDOWS\System32\pc_gambling.dat moved successfully.
    C:\WINDOWS\System32\pc_games.dat moved successfully.
    C:\WINDOWS\System32\pc_hate.dat moved successfully.
    C:\WINDOWS\System32\pc_illegal.dat moved successfully.
    C:\WINDOWS\System32\pc_im.dat moved successfully.
    C:\WINDOWS\System32\pc_news.dat moved successfully.
    C:\WINDOWS\System32\pc_onlinedating.dat moved successfully.
    C:\WINDOWS\System32\pc_onlinepay.dat moved successfully.
    C:\WINDOWS\System32\pc_onlineshop.dat moved successfully.
    C:\WINDOWS\System32\pc_pornography.dat moved successfully.
    C:\WINDOWS\System32\pc_regionaltlds.dat moved successfully.
    C:\WINDOWS\System32\pc_searchengines.dat moved successfully.
    C:\WINDOWS\System32\pc_socialnetworks.dat moved successfully.
    C:\WINDOWS\System32\pc_tabloids.dat moved successfully.
    C:\WINDOWS\System32\pc_video.dat moved successfully.
    C:\WINDOWS\System32\pc_webproxy.dat moved successfully.
    ========== COMMANDS ==========
    Restore points cleared and new OTL Restore Point set!

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 32902 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 1162279 bytes

    User: Utilisateur
    ->Temp folder emptied: 2638402 bytes
    ->Temporary Internet Files folder emptied: 70891270 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 28649351 bytes
    ->Flash cache emptied: 1180 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 68024 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 103715195 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 198,00 mb

    OTL by OldTimer - Version 3.2.31.0 log created on 12202011_185604

    Files\Folders moved on Reboot...
    C:\WINDOWS\temp\Perflib_Perfdata_cf4.dat moved successfully.

    Registry entries deleted on Reboot...
    0
  15. g3n-h@ckm@n
     
    ok et pour ta verif des fichiers qu'en dit-il ?
    0
  16. 123cmoi Messages postés 14 Statut Membre
     
    J'ai laissé roulé, Windows a corrigé des choses, mais je n'ai pas eu le temps de lire la liste de ce qu'il a fait!

    Pour le reste, est-ce que tout est ok maintenant?
    0
  17. g3n-h@ckm@n
     
    ca a l'air tu n'as plus de soucis apparents ?
    0
  18. 123cmoi Messages postés 14 Statut Membre
     
    Tout semble bien aller apparemment!

    Encore une fois, merci beaucoup pour ton aide si précieuse, tu m'avais aussi aidé avec succès l'an dernier, à la même époque de l'année!

    Merci encore et je te souhaite de très Joyeuses Fêtes!
    0
  • 1
  • 2