Trojan - win32 .Obfuscated.ap

Fermé

jmi_ch Messages postés 4 Date d'inscription jeudi 8 novembre 2007 Statut Membre Dernière intervention 10 novembre 2007 - 8 nov. 2007 à 23:57
jmi_ch Messages postés 4 Date d'inscription jeudi 8 novembre 2007 Statut Membre Dernière intervention 10 novembre 2007 - 10 nov. 2007 à 20:53

Bonjour,

Salut j'ai le virus cité en titre détecté par Karpersky qui n'a pu l'éradiquer.
Voir image ci-dessous.
http://img228.imageshack.us/img228/3452/jmi01hu0.jpg

Si un connaisseur pourrait m'assister cela serait très apprécié :-)))

Je poste également un log "HIjackthis"

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:20:41, on 08.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\svchost.exe
P:\Program Files\Kerio\kpf4ss.exe
P:\Program Files\Kerio\kpf4gui.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.fr.msn.ch/0SEFRCH/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/index_d.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://blueadit.bluewin.ch/adsl/router/index_f.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4DE3AF1E-B244-43A3-8152-4011740C5506} - (no file)
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-ch\msntb.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-ch\msntb.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &NeoTrace It! - P:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - P:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - P:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - P:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra button: Poker.fr - {40B2063F-DB01-4962-BE63-59435C01283C} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - P:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register6.valueactive.com/mpp_243/webolr/OCX/FlashAX.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: SentinelProtectionServer - SafeNet, Inc - C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - P:\Program Files\Kerio\kpf4ss.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

A voir également:

Trojan - win32 .Obfuscated.ap
Trojan remover - Télécharger - Antivirus & Antimalwares
Puadimanager win32/offercore ✓ - Forum Virus
Trojan b901 system32 win config 34 ✓ - Forum Virus
Csrss.exe trojan - Forum Virus
Puabundler win32 - Forum Virus

4 réponses

Réponse 1 / 4

Utilisateur anonyme
9 nov. 2007 à 03:07

Bonjour

Fais ceci :

¤ Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.fr.msn.ch/0SEFRCH/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4DE3AF1E-B244-43A3-8152-4011740C5506} - (no file)
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register6.valueactive.com/mpp_243/webolr/OCX/FlashAX.cab

¤ Clic sur "démarrer", "exécuter", tape: services.msc
Cherche dans la liste la ligne ci-dessous, tu fais un clic droit dessus choisis "propriétés" et régle la sur "désactivé"

- Boonty Games (sauf si tu utilises encore)

¤ Vas dans ajouter/supprimer des programmes et désinstalle :

- Java jre1.5.0_04 (obsolète)
- Acrobat Reader (obsolète)

Dernière version de Java dispo ici
---> https://www.java.com/fr/download/manual.jsp

Dernière version d'Abode ici
---> https://get2.adobe.com/reader/otherversions/

¤ Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisis "mode sans echec" attends un peu..

Clic sur démarrer, poste de travail, C:, Windows, cherche et supprime code2 ou code2.xzh (même chose)
Vide ta corbeille et redémarre ton PC normalement.
Puis scanne à nouveau ton PC avec ton antivirus et dis nous ce que ça donne ;-)

Réponse 2 / 4

jmi_ch Messages postés 4 Date d'inscription jeudi 8 novembre 2007 Statut Membre Dernière intervention 10 novembre 2007
9 nov. 2007 à 12:45

En premier lieu, merci pour ton aide, c'est sympa.

J'ai passé toutes les démarches (sauf l'inst de new Java et Adobe), malheureusement j'ai rencontré un problème pour la supression du fichier, même en mode "sans échec", voir image ci-dessous.

http://img142.imageshack.us/img142/5318/com2xzhic4.jpg

Apparement le fichier exite bien physiquement sur le disque, mais XP ne le trouve par bien qu'il s'affiche dans l'explorer.
J'ai passé par lew produit"Winhex forensic" er ce dernier me trouve bien mon fichier avec sa plage de clusters, voir image ci-dessous.

http://img142.imageshack.us/img142/8067/com2winhexcl1.jpg

Je précise que winhex est en mode "essai / Read only mode" et que je n'ai pas les fonctions d'effacement de fichier, je ne peux donc esssayer de passer par ce programme pour effacer ce Rnondjuuuuuuuuuuu de fichier ;-)

Existe-t-il des utilitaires pour ce type d'effacement ou à la limitte pour effacer le contenu d'une plage de clusters ?...

Re Merci pour le suiivi et A+

Réponse 3 / 4

jmi_ch Messages postés 4 Date d'inscription jeudi 8 novembre 2007 Statut Membre Dernière intervention 10 novembre 2007
9 nov. 2007 à 12:47

En premier lieu, merci pour ton aide, c'est sympa.

J'ai passé toutes les démarches (sauf l'inst de new Java et Abode), malheureusement j'ai rencontré un problème pour la supression du fichier, même en mode "sans échec", voir image ci-dessous.

http://img142.imageshack.us/img142/5318/com2xzhic4.jpg

Apparement le fichier exite bien physiquement sur le disque, mais XP ne le trouve par bien qu'il s'affiche dans l'explorer.
J'ai passé par lew produit"Winhex forensic" er ce dernier me trouve bien mon fichier avec sa plage de clusters, voir image ci-dessous.

http://img142.imageshack.us/img142/8067/com2winhexcl1.jpg

Je précise que winhex est en mode "essai / Read only mode" et que je n'ai pas les fonctions d'effacement de fichier, je ne peux donc esssayer de passer par ce programme pour effacer ce Rnondjuuuuuuuuuuu de fichier ;-)

Existe-t-il des utilitaires pour ce type d'effacement ou à la limitte pour effacer le contenu d'une plage de clusters ?...

Re Merci pour le suiivi et A+.

Réponse 4 / 4

jmi_ch Messages postés 4 Date d'inscription jeudi 8 novembre 2007 Statut Membre Dernière intervention 10 novembre 2007
10 nov. 2007 à 20:53

Et bien je n'ai pu effacer ce fichier répertorié comme "trojan" par mon ATV, et ce, soit :
- de manière conventionelle
- soit sous DOS "DEL filename /q /f"
- soit en mode sans échec
- soit avec mon Kapersky
- soit avec divers utilitaires
- soir avec éditeur hexa.

De guerre lasse, j'ai chargé mon "Winhex" en mode forensic et j'ai rempli ce ******* de fichier avec des bit's null "00".

Il est toujours présent et impossible à effacer, mais au mons il ne contient plus rien !

A+

Discussions similaires

C'est quoi "Win32:Trojan-gen {Other}"

Comment supprimer le virus Trojan

Aide pour un virus

Trojan impossible à supprimer!

Menaces HackTool:Win32