Trojan lipgame/kaspersky HS/backdoor Wedor

Résolu
max -  
moriz Messages postés 41 Statut Membre -
Je m'adressse à vous après avoir lu un post "mon pc rame" de Berni-ie-y, où je vous ai trouvé admirables-de patience. J'ai besoin d'un 'tit coup de main!

je suis en décrépitude avec Kaspersky bloqué et controlé: je n'ai plus la maitrise du mdp. Je l'ai viré, et remis avast 4.7 familial.

J'ai détecté depuis qq mois une baisse anormalement rapide de mon forfait 5Go.

Ad aware ne détecte que des lapins.

Spy doctor, que j'ai activé suite à lecture post Bernie vient de me trouver 40 lignes :

ex:

Backdoor.Webdor C:\WINDOWS\wints.ini Haut

BookedSpace HKCU\Software\Microsoft\Internet Explorer\Extensions\CmdMapping##{669695BC-A811-4A9D-8CDF-BA8C795F261C} Elev鼯td>

Trojan.LipGame.E HKLM\Software\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423} Haut

Trojan.LipGame.E HKLM\Software\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}## Haut

Comme SpyD me propose de payer pour réparer, je préfère différer le passage aux € !

Je suis aller dans la BDR et ai effacé les clés.

merci

>>>ca c'était tot ce matin;
j'en suis maintenantà l'impossibilité d'ouvrir wanadoo dans IE, pas possible de recevoir mon lien d'inscription...
voili voilou!!
Configuration: Windows 98 SE (récentes màj, depuis=ennuis!)
Internet Explorer 6.0
P3

28 réponses

  • 1
  • 2
  1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Salut

    y a t il un ewido pour W98 svp?

    Non, mais par contre installe et fait le nettoyage avec ces deux logs

    Ad-Aware
    ad aware

    Spybot
    spybot

    A++
    0
  2. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  3. Utilisateur anonyme
     
    http://www.datavis.com/images/PS/672792502842L.gif
    0
  4. max
     
    bonjour, joyeux noel!

    je ne peux me connecté à CCM que maintenant; IE saute régulièrement ou n'affiche pas les pages demandées - sont-elles redirigées comme me l'indique Spy Doc?

    Nom de l'infection
    Trojan.AntiFireWall

    EmplacementC:\WINDOWS\Downloaded Program Files\_ipsec_.inf

    Risque Haut

    J'ai déjà effectué des scans avec Spybot et Ad aware: rien

    je passe sur vos liens et vous tiens au courant, si possible.
    merci
    0
  5. max
     
    Euh...merci pour les images, vous devez vous comprendre!

    est-ce normal, cette "redirection" svp?
    http://webmail16d.orange.fr/webmail/fr_FR/sso_redirect.html?URI=inbox.html

    impossible d'ouvrir ma messagerie, et de me loguer...
    0
  6. salwa5 Messages postés 7552 Statut Contributeur 1 670
     
    Bonjour c'est quoi spy D ? spyware doctor ???

    tu deverais regardé dans les option de cette antispyware , ca doit etre ca qui t'empeche d'accedé a tes mails

    a++++
    0
  7. moriz Messages postés 41 Statut Membre
     
    salut salwa
    oui, Spy D= S pyware doctor.

    j'y suis bien allé voir, mais je ne maitrise pas bien.
    Je parle bien du site orange.fr, pas de mon Outlook. J'ai pris l'habitude de l'ouvrir pour y faire le ménage des spams avant de telecharger les mails sur Outlook.

    parenthèse : à ce propos, je reçois des mails et qd j'ouvre, ldestinataire n'est pas moi, j'ai donc configuré des règles de message devant détruire sur le serveur les mails n'ayant pas mon adresse comme destinataire. Evidemment ca ne marche pas!!
    Un avis là dessus?

    ->Coté fonctionnement général, j'ai fait du grand scan avec Avast, SpyDoc, Spybot,multi virus cleaner2007 puis nettoyage CCleaner et jv16 poxer tools sur BDR.
    Spybot et Spydoc fonctionnent en résident s avec Avaast.

    Ca tourne à peu près, le DD a gratté un long moment à la connexion( màj des anti vir ou nouvelle infection?)...et IE plante facilement. Ex: je tape "a" dans google, planté!

    Encore une question:
    les update Win98 auraient-ils tendance à vraiment protéger des attaques ou par leur fonctionnement plus récent attireraient-ils justement l'interet des virus.
    genre: plus je suis vieillot et plus je me fait discret , moins les méchants s'interessent à moi ; plus je me renforce et plus belle cible je deviens?!!

    merci. bonsoir
    0
  8. salwa5 Messages postés 7552 Statut Contributeur 1 670
     
    Bonsoir si tu desactive spyware doctor esque t'arrive a accedé a ta boite email ?

    pour le reste telecharge hijackthis et colle le resultat ici :

    http://www.infos-du-net.com/telecharger/HijackThis.html
    demo :
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    parenthèse : à ce propos, je reçois des mails et qd j'ouvre, ldestinataire n'est pas moi, j'ai donc configuré des règles de message devant détruire sur le serveur les mails n'ayant pas mon adresse comme destinataire. Evidemment ca ne marche pas!! 
    Un avis là dessus? 


    c'est bizzare comme truc , je sais pas d'ou ca vien mais je peu te conseiller un bon programme de messagerie electronique , Thunderbird il contien un bon antispam

    http://www.mozilla-europe.org/fr/products/thunderbird/

    tutorial

    http://www.essentielpc.com/

    https://www.astucesinternet.com/modules/news/article.php?storyid=180

    les update Win98 auraient-ils tendance à vraiment protéger des attaques ou par leur fonctionnement plus récent attireraient-ils justement l'interet des virus. 
    genre: plus je suis vieillot et plus je me fait discret , moins les méchants s'interessent à moi ; plus je me renforce et plus belle cible je deviens?!! 


    normalement les mise ajour ont pour but de proteger le pc :p

    a++
    0
  9. moriz Messages postés 41 Statut Membre
     
    salut,
    je m' appretais à lancer Hij!

    Meme en desactivant SpD, pas d'accès a la messagerie du site orange

    Deja essayé la suite mozilla etc; ca n'avance pas... On peut utiliser Thunderbird sur IE? possibilité de transférer les dossiers de Outlook6?

    Refait un scan SpDoc ce matin, tjs le :
    _ipsec_.inf
    détecté comme trojan.

    merci à plus tard
    0
  10. moriz Messages postés 41 Statut Membre
     
    Logfile of HijackThis v1.99.1
    Scan saved at 10:49:30, on 26/12/06
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
    C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
    C:\MOUSE\SYSTEM\EM_EXEC.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
    C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
    C:\WINDOWS\SYSTEM\W98EJECT.EXE
    C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMUSBKB2.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    D:\PROGRAM\HIJKT\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.recherche.aol.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
    O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRAM\SPYWAR~1\TOOLS\IESDPB.DLL
    O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRAM\SPYWAR~1\TOOLS\IESDSG.DLL
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
    O4 - HKLM\..\Run: [Multimedia Keyboard] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
    O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
    O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
    O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
    O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
    O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O4 - HKLM\..\RunServices: [Kb918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
    O4 - HKCU\..\Run: [Spyware Doctor] "D:\PROGRAM\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Startup: w98Eject.lnk = C:\WINDOWS\SYSTEM\w98Eject.exe
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
    O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRAM\SPYWAR~1\TOOLS\IESDPB.DLL
    O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
    O15 - Trusted Zone: https://www.ebay.fr/
    O15 - Trusted Zone: https://www.orange.fr/portail
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) -
    0
  11. salwa5 Messages postés 7552 Statut Contributeur 1 670
     
    bonjour peu etre que le sp1 est endomagé . essay de le desinstaller / reinstaller . si le probleme persiste repares internet explorer en suivant les instructions de ce lien http://www.technicland.com/article.php3?sid=24

    concernant thunderbird , oui t'as la possibilité d' importe les dossiers et autre données depuis outlook tout est expliqué ici :) https://www.astucesinternet.com/modules/news/article.php?storyid=180

    a++++
    0
  12. moriz Messages postés 41 Statut Membre
     
    re,
    SP1 ????
    autre découverte: un raccourci "tempo. internet files" que j'avais placé sur le bureau s'est transformé en dossier système!
    impossible de le supprimer...

    je travaille sur ton lien, merci
    0
  13. salwa5 Messages postés 7552 Statut Contributeur 1 670
     
    bonjour ton log hijack montre que tu as Internet Explorer v6.00 SP1 ( service pack 1) tu devrais regarder dans ajout/suppression de programe si tu peu desinstaller le service pack 1

    je sais pas mais j'ai comme l'impression que t'as supprimé une clée qu'il ne fallais pas dans le registre :/ c'est pas normal qu'un racourci se transforme en dossier system
    a++
    0
  14. moriz Messages postés 41 Statut Membre
     
    ok pour SP1, j'ai restauré, ca marche!

    <<Salwa, france, one point!>>

    j'ai des scripts bizarres en chinois cf #1.

    des fichiers winamp qui ont l'air d'etre bien autre chose que de la musique: il sont dans les Tempo Internet files...

    Et tjs Kaspersky possédé par un mdp que je ne peux pas modifier!

    mais c'est moins pire!

    merci, a+
    0
  15. moriz Messages postés 41 Statut Membre
     
    Logfile of HijackThis v1.99.1
    Scan saved at 14:08:58, on 26/12/06
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
    C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
    C:\MOUSE\SYSTEM\EM_EXEC.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
    D:\PROGRAM\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
    C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
    C:\WINDOWS\SYSTEM\W98EJECT.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMUSBKB2.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    D:\PROGRAM\HIJKT\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.recherche.aol.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
    O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRAM\SPYWAR~1\TOOLS\IESDPB.DLL
    O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRAM\SPYWAR~1\TOOLS\IESDSG.DLL
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
    O4 - HKLM\..\Run: [Multimedia Keyboard] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
    O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
    O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
    O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
    O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
    O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O4 - HKLM\..\RunServices: [Kb918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
    O4 - HKCU\..\Run: [Spyware Doctor] "D:\PROGRAM\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Startup: w98Eject.lnk = C:\WINDOWS\SYSTEM\w98Eject.exe
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRAM\SPYWAR~1\TOOLS\IESDPB.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
    O15 - Trusted Zone: https://www.ebay.fr/
    O15 - Trusted Zone: https://www.orange.fr/portail
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) -
    0
  16. salwa5 Messages postés 7552 Statut Contributeur 1 670
     
    bonjour

    j'ai des scripts bizarres en chinois cf #1. 
    
    des fichiers winamp qui ont l'air d'etre bien autre chose que de la musique: il sont dans les Tempo Internet files... 


    je pense que c'est normal mais pour enlever le doute analyse un des fichier ici

    Rend toi sur ce site :
    http://www.virustotal.com/xhtml/virustotal_en.html
    Clik sur parcourir
    Recherche le fichiers analyse le ensuite colles le raport ici

    Et tjs Kaspersky possédé par un mdp que je ne peux pas modifier!

    ca veut dire quoi mdp?

    a+++
    0
    1. moriz Messages postés 41 Statut Membre
       
      bonjour Salwza, merci de me suivre et bonne année!

      j'ai eu des préoccupations vraiment plus urgentes que l'ordi...désolé pour la coupure.

      mdp = mot de passe

      un "truc" a installé un mdp que je ne pouvais changer, j'ai désinstallé Kaspersky.

      Sur virustotal, il y a écrit partout " no virus found" seems to be ok!

      Encore une chose qui a changé: mes temporary internet files ne sont plus ds windows mais windows/local setting/


      As tu une idée pour les inscriptions chinoises?!!
      a+ merci
      0
  17. salwa5 Messages postés 7552 Statut Contributeur 1 670
     
    bonjour :) etant donnée que c'est dangereux de surfer sans antivirus alors je te conseille avast

    Avast (antivirus)
    https://www.clubic.com/telecharger-fiche11113-avast-antivirus-gratuit.html

    tutorial
    https://forums.cnetfrance.fr

    si tu as de la patience fait un scan en ligne avec kaspersky

    scan kaspersky https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    Clic sur l'image Kaspersky Online Scanner
    Clic sur J'accepte
    Installes le ActiveX
    Tu attends que la mise à jour se termine, une fois terminé,
    clic sur Suivant
    Clic sur Paramètres d'analyse
    Coche la case Étendue >> Ok
    Clic sur Poste de travail pour faire un scan complet
    Une fois le scan fini à 100%, clic sur Enregistrer rapport
    sous...
    Enregistrer le rapport au format .txt (en nom tu mets rapport ou
    ce que tu veux et en type tu choisis fichier texte (*.txt)
    Tu ouvres le fichier que tu viens de sauvegarder, copie et colle
    le rapport ici si tu es infecté

    a+++
    0
    1. moriz Messages postés 41 Statut Membre
       
      bonsoir salwa,
      j'ai installé Avast, avec Spybot en Résident.
      J'avais déjà effetué un scan en ligne sans résultat avec Kaspersky.
      Je vais en refaire un.

      Je ne pense pas etre infecté actuellement, mais le systeme est instable, bcp de plantage IE - j'ai oublié le nom de l'erreur, un .EXE entout cas.

      Je depose un rapport KAV dès que possible.
      merci de ton soutien.
      0
  18. salwa5 Messages postés 7552 Statut Contributeur 1 670
     
    ok ca marche :) , notes aussi le message d'erreur ca pourai nous aidé a mieu comprendre le probleme

    a+++
    0
  • 1
  • 2