Sujet Précédent Sujet Suivant

Inecté par Glieder ou SillyDL ?

David. -  
salwa5 Messages postés 7552 Statut Contributeur -
Windows XP
Firefox 2.0.0.1
PentiumII 333Mhz

Antivirus eTrust 7.0
Firewall de windows XP

Besoin d'aide.

Problème : après avoir essayé une démo d'un jeu téléchargé depuis un peer to peer, le jeu ne s'est pas lancé, mais m'a désactivé l'antivirus. Impossible de réinstaller l'antivirus, les fichiers exe du dossier de l'antivirus s'effacent dès que je redémare le PC.

En analysant mon disque dur depuis un autre PC via un câble USB, j'ai pu détecter et désinfecter un Trojan W32/SillyDL.7kv!Trojan qui apperment a crée plusieurs fichiers exe dans C:\Windows\exefld avec ce ver :W32/Glieder.7kv!Trojan.

J'ai cherché diverses infos sur ces vers et malgré l'effacement de diverses clès ou fichiers, je n'arrive pas encore à installer l'antivirus. Je vous envoie le fichier hijackthis: 

Logfile of HijackThis v1.99.1
Scan saved at 19:00:09, on 14/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\ASUS\ASUS Remote\RemoteControlAppl.exe
C:\Program Files\ICQ\NDetect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\dad\LOCALS~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: run=lxdboxcp.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O2 - BHO: (no name) - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Program Files\ASUS\ASUS Remote\RemoteControlAppl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\NDetect.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~6\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: SYSTRAN: &Effacer le cache de traduction - C:\Program Files\Systran\Premium\menuClearCache.html
O8 - Extra context menu item: SYSTRAN: &Options - C:\Program Files\Systran\Premium\menuConfigure.html
O8 - Extra context menu item: SYSTRAN: &Traduire - C:\Program Files\Systran\Premium\menuTranslate.html
O8 - Extra context menu item: SYSTRAN: En&registrement - C:\Program Files\Systran\Premium\menuRegister.html
O8 - Extra context menu item: SYSTRAN: Rechercher les &mises à jour - C:\Program Files\Systran\Premium\menuUpdate.html
O8 - Extra context menu item: SYSTRAN: Traduire les &cadres - C:\Program Files\Systran\Premium\menuTranslateAll.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\Memoweb 3\IEBtn\Launcher (file missing)
O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\Memoweb 3\IEBtn\Launcher (file missing)
O9 - Extra button: @sysiecom.dll,-2100@1036,Traduire (SYSTRAN) - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslate.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2102@1036,SYSTRAN: Traduire - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslate.html
O9 - Extra button: @sysiecom.dll,-2103@1036,Traduire les cadres (SYSTRAN) - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslateAll.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2105@1036,SYSTRAN: Traduire les cadres - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslateAll.html
O9 - Extra button: @sysiecom.dll,-2115@1036,Options (SYSTRAN) - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuConfigure.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2117@1036,SYSTRAN: Options - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuConfigure.html
O9 - Extra button: (no name) - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuClearCache.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2108@1036,SYSTRAN: Effacer le cache de traduction - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuClearCache.html
O9 - Extra button: (no name) - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuRegister.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2111@1036,SYSTRAN: Enregistrement - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuRegister.html
O9 - Extra button: (no name) - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuUpdates.html (file missing)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2114@1036,SYSTRAN: Rechercher les mises à jour - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuUpdates.html (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~6\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O12 - Plugin for .avi: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)


Merci de m'aider si quelqu'un se sens plus à l'aise que moi.

5 réponses

Réponse 1 / 5
salwa5 Messages postés 7552 Statut Contributeur 1 670
 
bonsoir
Télécharge Blacklight (de F-Secure)
https://www.f-secure.com/en
https://europe.f-secure.com/exclude/blacklight/index.shtml

et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse

a+++
0
Réponse 2 / 5
David.
 
Voici un peu de lecture
Le fichier fsbl-20070114185312.log créé par Blacklight faisant 630 lignes, je l'ai raccourci au millieu pour simplifier, je peux le mettre en entier dans une prochaine réponse si tu le souhaite, mais je n'en vois pas l'intéret.
Dans le répertoire de la racine c:\, plusieurs dossiers ou fichiers ont été ainsi crées (environ 3400 fichiers et dossiers).
Impossible de supprimés ces fichiers ou dossiers depuis le PC, et même en externe. J'envisage après avoir réglé le problème du virus de jeter un coup d'oeil à la base FAT. Cela fait plus de 15 ans que je n'ai pas utilisé ce procédé, je ne sais pas si il y a plus simple. Mais je n'en suis pas encore là.
Je ne sais pas si cela est dû au virus ou le résultat d'une mauvaise manipulation avec une analyse depuis un portable équipé du logiciel antivirus sophos (que je connais moins que e.trust) et qui n'a rien révélé. Mon portable perso équipé de e.trust, lui a découvert sur le disque verollé (lorsque je l'ai aussi branché en externe pour l'analyse) les vers mentionnés dans le titre de mon message.

Voilà quelques commentaires en plus du fichiers. Pour le moment, je n'ai fait aucune action de plus que le premier message. 

01/14/07 19:57:24 [Info]: BlackLight Engine 1.0.55 initialized
01/14/07 19:57:24 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/14/07 19:57:24 [Note]: 7019 4
01/14/07 19:57:24 [Note]: 7005 0
01/14/07 19:57:25 [Note]: 7006 0
01/14/07 19:57:25 [Note]: 7011 984
01/14/07 19:57:26 [Note]: 7026 0
01/14/07 19:57:27 [Note]: 7026 0
01/14/07 19:58:10 [Note]: FSRAW library version 1.7.1021
01/14/07 19:58:10 [Error]: 5002
01/14/07 19:58:11 [Info]: Hidden file: c:\ToCheck..len
01/14/07 19:58:11 [Note]: 7002 0
01/14/07 19:58:11 [Note]: 7003 1
01/14/07 19:58:12 [Info]: Hidden file: c:\ item =.ds.
01/14/07 19:58:12 [Note]: 7002 0
01/14/07 19:58:12 [Note]: 7003 1
01/14/07 19:58:12 [Info]: Hidden file: c:\heck[i]).;

01/14/07 19:58:12 [Note]: 7002 0
01/14/07 19:58:12 [Note]: 7003 1
01/14/07 19:58:13 [Info]: Hidden file: c:\(item.ty.pe\xÍ
01/14/07 19:58:13 [Note]: 7002 0
01/14/07 19:58:13 [Note]: 7003 1
01/14/07 19:58:13 [Error]: 5002
01/14/07 19:58:14 [Info]: Hidden file: c:\= gRDF.G.etR
01/14/07 19:58:14 [Note]: 7002 0
01/14/07 19:58:14 [Note]: 7003 1
01/14/07 19:58:15 [Info]: Hidden file: c:\tem.id);.

01/14/07 19:58:15 [Note]: 7002 0
01/14/07 19:58:15 [Note]: 7003 1
01/14/07 19:58:15 [Info]: Hidden file: c:\em if it. wa\xÍ
01/14/07 19:58:15 [Note]: 7002 0
01/14/07 19:58:15 [Note]: 7003 1
01/14/07 19:58:16 [Info]: Hidden file: c:\sion 1.0. ex\xÍ
01/14/07 19:58:16 [Note]: 7002 0
01/14/07 19:58:16 [Note]: 7003 1
01/14/07 19:58:17 [Info]: Hidden file: c:\asource..

01/14/07 19:58:17 [Note]: 7002 0
01/14/07 19:58:17 [Note]: 7003 1


[..............;;]


01/14/07 20:00:23 [Error]: 5002
01/14/07 20:00:23 [Info]: Hidden file: c:\ error,.GUI
01/14/07 20:00:23 [Note]: 7002 0
01/14/07 20:00:23 [Note]: 7003 1
01/14/07 20:00:23 [Error]: 5002
01/14/07 20:00:24 [Error]: 5002
01/14/07 20:00:25 [Error]: 6019 0
01/14/07 20:00:25 [Error]: 6017 0
01/14/07 20:00:25 [Note]: 7007 0
0
Réponse 3 / 5
salwa5 Messages postés 7552 Statut Contributeur 1 670
 
met le raport entier stp :)

si le raport est trop long alors heberge le ici

va sur ce site http://dl.free.fr/

clic sur parcourir / cherche et selection le raport blacklight ensuite clic sur envoyé

une nouvelle fenetre s'ouvre copie / colle le lien qu'il te donne ici

a+++
0
Réponse 4 / 5
David.
 
Ok, voici le lien vers le fichier :

http://dl-1.free.fr/52616e646f6d49560f0bf152ab64ab9cfba56ed21192262aaedb8a6d30092542/fsbl-20070114185312.log
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
salwa5 Messages postés 7552 Statut Contributeur 1 670
 
le raport est illisible :/ c pas grave essay avec un autre programe

Télécharge gmer : https://www.majorgeeks.com/files/details/gmer.html
Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"

Clic sur Scan
Lorsque le scan est terminé, clic sur "copy"

si le raport est trop long heberge le ici http://dl.free.fr/

a++++
0

Discussions similaires

Worm WIN32, trojans SillyDL DIC,Rolepi GM
vinoth91 -
vinoth91 -

5 réponses