Briss, ABetterInternet,Win32 et compagnie!

Scan4012 Messages postés 16 Date d'inscription   Statut Membre -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour,
J'ai un pb de Trojans, la galére...ils lancent le navigateur tout le temps...The Cleaner trouve entre autres fréquemment Briss, ABetterInternet et d'autres encore...
G essayé a2 scanner qui n'a rien trouvé, et pourtant...y a du Trojan!!!

G arrêté les processus bizzards et supprimé les .exe correspondants , vidé les dossiers Temp.
G lancé les antivirus en mode sans echec, suppimé dans l'éditeur de registre les choses bizzard dans Run (type Iloveyou).

Le dernier rapport de l'antivirus BitDefender, montre qu'il n'arrive pas à en supprimer certains...

C:\Program Files\Internet Optimizer\optimize.exe=>(Upx) Infected Trojan.Downloader.Dyfuca.AK
C:\Program Files\Internet Optimizer\optimize.exe=>(Upx) Disinfection failed - Trying second action
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\ISTbar\istbar.dll=>(Upx) Infected Trojan.Downloader.Istbar.DH
C:\Program Files\ISTbar\istbar.dll=>(Upx) Disinfection failed - Trying second action
C:\Program Files\ISTbar\istbar.dll
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392092.exe Infected Backdoor.Jeemp.D
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392092.exe Disinfection failed - Trying second action
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392092.exe
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392093.exe Infected Backdoor.Jeemp.D
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392093.exe Disinfection failed - Trying second action
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392093.exe
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392103.exe Infected Backdoor.Jeemp.D
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392103.exe Disinfection failed - Trying second action
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392103.exe
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392104.exe Infected Backdoor.Jeemp.D
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392104.exe Disinfection failed - Trying second action
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392104.exe
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392997.exe Infected Win32.HLLW.Agobot.HH
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392997.exe Disinfection failed - Trying second action
C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP280\A0392997.exe
C:\WINDOWS\AddCLS.exe Infected Trojan.Downloader.Small.HB
C:\WINDOWS\AddCLS.exe Deleted
C:\WINDOWS\dp.dll Infected Trojan.StartPage.FI
C:\WINDOWS\dp.dll Deleted
C:\WINDOWS\dpr.dll Infected Trojan.StartPage.FI
C:\WINDOWS\dpr.dll Deleted
C:\WINDOWS\reg33.exe Infected Trojan.StartPage.M
C:\WINDOWS\reg33.exe Disinfection failed - Trying second action
C:\WINDOWS\reg33.exe
C:\WINDOWS\system32\afab.dll Infected Trojan.Win32.StartPage.FW
C:\WINDOWS\system32\afab.dll Disinfection failed - Trying second action
C:\WINDOWS\system32\afab.dll
C:\WINDOWS\system32\Afilgife.dll Infected Backdoor.Padodor.A
C:\WINDOWS\system32\Afilgife.dll Disinfection failed - Trying second action
C:\WINDOWS\system32\Afilgife.dll
C:\WINDOWS\system32\bmh.dll Infected Trojan.Win32.StartPage.FW
C:\WINDOWS\system32\bmh.dll Disinfection failed - Trying second action
C:\WINDOWS\system32\bmh.dll
C:\WINDOWS\system32\dlimgi.dll Infected Trojan.Win32.StartPage.FW
C:\WINDOWS\system32\dlimgi.dll Disinfection failed - Trying second action
C:\WINDOWS\system32\dlimgi.dll
C:\WINDOWS\system32\eih.dll Infected Trojan.Win32.StartPage.FW
C:\WINDOWS\system32\eih.dll Disinfection failed - Trying second action
C:\WINDOWS\system32\eih.dll
C:\WINDOWS\system32\hbod.dll Infected Trojan.Win32.StartPage.FW
C:\WINDOWS\system32\hbod.dll Disinfection failed - Trying second action
C:\WINDOWS\system32\hbod.dll
C:\WINDOWS\system32\jjji.dll Infected Trojan.Win32.StartPage.FW
C:\WINDOWS\system32\jjji.dll Disinfection failed - Trying second action
C:\WINDOWS\system32\jjji.dll
C:\WINDOWS\system32\lgkieba.dll Infected Trojan.Win32.StartPage.FW
C:\WINDOWS\system32\lgkieba.dll Disinfection failed - Trying second action
C:\WINDOWS\system32\lgkieba.dll
C:\WINDOWS\system32\lhpbha.dll Infected Trojan.Win32.StartPage.FW
C:\WINDOWS\system32\lhpbha.dll Disinfection failed - Trying second action
C:\WINDOWS\system32\lhpbha.dll
C:\WINDOWS\system32\msrexe.exe Infected Backdoor.Jeemp.D
C:\WINDOWS\system32\msrexe.exe Disinfection failed - Trying second action
C:\WINDOWS\system32\msrexe.exe

Que faire? je sèche et je commence à en avoir marre (quelques semaines que ça dure!!!).
Quelqu'un à t'il une solution????

28 réponses

  • 1
  • 2
  1. Scan4012 Messages postés 16 Date d'inscription   Statut Membre
     
    Merci du conseil Bernie61, mais ou est ce qu'on désactive la restauration systéme avant de Fixer (je suis assez néophyte)
    0
  2. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    essai de redemarrer en mode sans echec et passe bit defender
    0
  3. firehead77
     
    bonjour

    pour desactiver restauration système :
    panneau de configuration / performance et maintenance / systeme / onglet restauration du systeme
    Si tu as la touche windows (en bas a gauche entre ctrl et alt) = windows + pause et tu arrives directement dans propriétés systèmes

    pour le mode sans echec touche F8 au demarrage du pc

    slt
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Scan4012 Messages postés 16 Date d'inscription   Statut Membre
     
    Alors, j'en suis là:
    Sur http://search.atomz.com/search/?sp-a=sp1002e9aa&sp-f=ISO-8859-1&sp-g=2&sp-q=istbar je n'ai rien trouvé me permettant de fixer Istbar (aucun utilitaire de désinfection décrit pour éliminer Istbar trouvé.Lequel prendre?).

    J'ai essayé de lancer Bit defender en mode sans echec mais il ne se lance pas (?)

    G aussi désactiver la restauration systéme (merci firehead77).

    Quepuis-je essayer d'autre?
    0
  6. Scan4012 Messages postés 16 Date d'inscription   Statut Membre
     
    J'ai aussi relancé a2 scanner en mode sans echec, et il ne detecte rien.
    Par contre, quand je reboote le pc il y a une fenêtre Bloc note desktop.ini qui s'ouvre avec le message [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
    C'est nouveau, alors si vous comprenez ce language, peut être pouvez vous vulgariser ... ? merci
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut essai ceci et dit nous ou tu en est
    alors action numero 1
    telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser
    ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe

    Action numero 2 :o)
    Demarrer en mode sans echec :
    tapotter sur la touche F8 sans arret desque tu allume ton PC
    et si ca ne marche pas utiliser la touche f5 a la place
    Appliquer le fichier dans le mode sans echec
    le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus

    Action numero 3
    copier ici le contenu du fichier resulata.txt qui se trouve dans le dossier tmp que le fichier rimouveur.exe vas creer ...

    action numero 4
    un petit http://www.ravantivirus.com/scan/ si le Rimouveur ne trouve pas le virus :o)
    0
  8. Scan4012 Messages postés 16 Date d'inscription   Statut Membre
     
    Bonjour,

    En fait j'en suis toujours au même point puisque:

    A l'adresse (bernie61): http://fr.trendmicro-europe.com/enterprise/products/housecall.php
    j'ai récupéré l'antivirus mais ne peux l'installer.
    (message pendant le setup: Setup requires the following disk : Disk 1 "DOCUME~1\ADMINI~1\LOCALS~1\TEMP\

    A l'adresse (bernie61): http://www.onlythebestfreeware.com/program.asp?program_id=115
    le scanner HouseCall ne me donne pas la main pour scanner (le bouton "Scan" reste grisé, le scanner se prépare t'il pendant plusieurs heures??

    A l'adresse (balltrap34): ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe
    Il ne se passe rien (!?), une page s'ouvre, mais elle reste indéfiniment blanche...

    Donc voilà, en déséspoir de cause j'ai supprimé manuellement le dossier ISTbar et son unique fichier istbar.dll 1.1.0.2 IST T00lbar, et je suis en train de relancer un scan avec Ravantivirus, dés que c'est fini, je colle le rapport ici.

    Autre chose que je puis faire??

    Rq: dans le gestionnaire, j'ai 4 svchost.exe qui tournent, n'est ce pas bizzard aussi?

    Merci de votre aide.
    0
  9. Scan4012 Messages postés 16 Date d'inscription   Statut Membre
     
    Alors, voici le dernier rapport de ravantivirus:

    Scan started at 02/05/2004 14:52:20

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\Administrateur\Application Data\maus.exe->(UPXW)->(EXEEmb) - Clicker:Win32/BuddyLinks.A -> Infected
    C:\Program Files\Internet Optimizer\optimize.exe - TrojanDownloader:Win32/Dyfica.AK -> Infected
    C:\Recycled\1.exe - TrojanDownloader:Win32/Small.FO -> Suspicious
    C:\WINDOWS\2_0_1browserhelper2.dll - Clicker:Win32/Delf -> Infected

    Scanned
    ============================
    Objects: 19635
    Directories: 1714
    Archives: 788
    Size(Kb): -1870096
    Infected files: 3

    Found
    ============================
    Viruses found: 3
    Suspicious files: 1
    Disinfected files: 0
    Mail files: 143
    0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    2°redemarre en mode sans echec pour cela tu tapote la touche f8
    des le debut de l allumage du pc sans t arreter
    une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
    une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal a ce moment la
    tu click sur demarrer rechercher tous les fichiers et dossiers
    tu tape ou colle ceci
    C:\Documents and Settings\Administrateur\Application Data\maus.exe
    C:\Program Files\Internet Optimizer\optimize.exe
    C:\WINDOWS\2_0_1browserhelper2.dll

    une fois trouver tu fait un click dessus et tu appuie sur la touche majuscule et sans la lacher tu appuie sur suppr
    et recycled c est ta poubelle vide la
    0
  11. Scan4012 Messages postés 16 Date d'inscription   Statut Membre
     
    Salut,
    Alors en mode sans échec, j'ai lancé la recherche et il n'a trouvé aucun des fichiers...(même en ne mettant que le nom du fichier sans le chemin)
    Alors g ouvert l'éditeur de registre et trouvé C:\Documents and Settings\Administrateur\Application Data\maus.exe que j'ai supprimé. G aussi pu supprimé 2_0_1browserhelper2.dll
    Je n'ai pas trouvé optimize.exe...

    Est ce que cela a servi à quelque chose? pas sûr car dés que j'ai quitté le mode sans échec, The Cleane m'a lancé une alerte: Il venait de détecter Briss...

    Que faire d'autre?

    Ps je suis entrain de relancer un ravantivirus, je colle le rapport dés que c'est fini.
    0
  12. Scan4012 Messages postés 16 Date d'inscription   Statut Membre
     
    Voici le dernier rapport Ravantivirus:

    Scan started at 02/05/2004 16:43:55

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\Administrateur\Application Data\maus.exe->(UPXW)->(EXEEmb) - Clicker:Win32/BuddyLinks.A -> Infected
    C:\Program Files\Internet Optimizer\optimize.exe - TrojanDownloader:Win32/Dyfica.AK -> Infected
    C:\Recycled\1.exe - TrojanDownloader:Win32/Small.FO -> Suspicious
    C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP1\A0000069.exe->(UPXW)->(EXEEmb) - Clicker:Win32/BuddyLinks.A -> Infected
    C:\WINDOWS\2_0_1browserhelper2.dll - Clicker:Win32/Delf -> Infected

    Scanned
    ============================
    Objects: 19664
    Directories: 1654
    Archives: 789
    Size(Kb): -1867987
    Infected files: 4

    Found
    ============================
    Viruses found: 3
    Suspicious files: 1
    Disinfected files: 0
    Mail files: 145

    Donc suite à ce scan je suis allé directement supprimer manuellement: maus.exe et optimize.exe -

    Maintenant que faire d'autre?
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    premiere chose vide ta poubelle
    desactive ta restauration
    pour ca tu fait click droit sur poste de travail
    propriete.tu click sur onglet restauration systeme
    tu coche la case desactiver la restauration et applique
    tu redemarre

    fait demarrer executer et tu tape msconfig cherche ce qui est en rapport avec ceci
    maus.exe->(UPXW)->(EXEEmb) -
    C:\Program Files\Internet Optimizer\optimize.exe
    tu decoche et appliquer
    ensuite tu click sur ctrl-alt-suppr
    et tu click sur ce qui est en rapport avec et tu click sur terminer processus
    ensuite tu refait ca
    tu click sur demarrer rechercher tous les fichiers et dossiers
    tu tape ou colle ceci
    C:\Documents and Settings\Administrateur\Application Data\maus.exe->(UPXW)->(EXEEmb)
    C:\Program Files\Internet Optimizer\optimize.exe

    une fois trouver tu fait un click dessus et tu appuie sur la touche majuscule et sans la lacher tu appuie sur suppr
    et recycled c est ta poubelle vide la
    0
  14. Scan4012 Messages postés 16 Date d'inscription   Statut Membre
     
    Ok j'ai fait ça, sous msconfig je n'ai trouvé que maus.exe, (optimize.exe supprimé??).
    Dans le gestionnaire, les processus étaient déja supprimés et dans rechercher; il ne retrouve ni maus.exe ni optimize.exe.
    La poubelle est vide, les fichiers temp aussi.
    Je reboote, relance un ravantivirus et le colle ici pour contrôle.
    Merci balltrap 34
    0
  15. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    ok
    0
  16. Scan4012 Messages postés 16 Date d'inscription   Statut Membre
     
    Bon voilà le dernier rapport Ravantivirus (le probléme est toujours là car des fenêtre Internet continuent de s'ouvrir toutes seules dans le navigateur!).

    Scan started at 02/05/2004 19:44:50

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Recycled\1.exe - TrojanDownloader:Win32/Small.FO -> Suspicious
    C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP1\A0000069.exe->(UPXW)->(EXEEmb) - Clicker:Win32/BuddyLinks.A -> Infected
    C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP1\A0000092.exe->(UPXW)->(EXEEmb) - Clicker:Win32/BuddyLinks.A -> Infected
    C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP1\A0000096.dll - Clicker:Win32/Delf -> Infected
    C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP1\A0000098.exe - TrojanDownloader:Win32/Dyfica.AK -> Infected
    C:\System Volume Information\_restore{355D334C-73B0-4024-9091-02FDF6F89022}\RP1\A0000099.exe->(UPXW)->(EXEEmb) - Clicker:Win32/BuddyLinks.A -> Infected

    Scanned
    ============================
    Objects: 19642
    Directories: 1654
    Archives: 788
    Size(Kb): -1872498
    Infected files: 5

    Found
    ============================
    Viruses found: 3
    Suspicious files: 1
    Disinfected files: 0
    Mail files: 151

    De plus j'ai lancé un scan des processus qui tournent sur mon UC via prcwin, ci joint le résultat:

    bdss.exe (bdss) :
    Dans la majorité des cas :
    Antivrus BullGuard (obligatoire)

    cnxmon.exe (cnxmon) :
    Dans la majorité des cas :
    Fenêtre de connexion de Wanadoo (obligatoire)

    comcomp.exe (comcomp) :
    Dans la majorité des cas :
    Appartient à Wanadoo (obligatoire)

    ctfmon.exe (ctfmon) :
    Dans la majorité des cas :
    Gère les technologies basées sur les langues, notamment la reconnaissance vocale et la traduction (obligatoire)

    dslmon.exe (dslmon) :
    Dans la majorité des cas :
    Utilitaire pour les modems SAGEM (obligatoire)

    espacewanadoo.exe (espacewanadoo) :
    Dans la majorité des cas :
    Programme appartenant à Wanadoo, à priori ce n'est pas un virus (obligatoire)

    explorer.exe (explorer) :
    Dans la majorité des cas :
    Interface graphique de Windows. Si vous l'arrêtez, vous perdez toutes les fenêtres et les icônes du bureau (obligatoire)
    Dans certains cas :
    Virus win32/hllw.spybot (illégitime)

    iexplore.exe (iexplore) :
    Dans la majorité des cas :
    Navigateur Internet Explorer (obligatoire)
    Dans certains cas :
    Virus win32/bugbear.b@mm (illégitime)

    lsass.exe (lsass) :
    Dans la majorité des cas :
    Vérifie l'authentification des utilisateurs sur l'ordinateur (à ne pas confondre avec isass.exe) (obligatoire)
    Dans certains cas :
    Plante en présence du virus W32.sasser (à voir, correctif : http://www.secuser.com/alertes/2004/sasser.htm)

    rundll32.exe (rundll32) :
    Dans la majorité des cas :
    Affiche une icône dans la barre des tâches pour gérer le son (en plus de l'icône par défaut de Windows) (obligatoire)

    Charge des DLL en mémoire pour être utilisé par des applications spécifiques (obligatoire)
    Dans certains cas :
    Spyware BrowserAid (illégitime)

    services.exe (services) :
    Dans la majorité des cas :
    S'occupe de démarrer et d'arrêter les services de Windows (son, connexions réseau, ...) (obligatoire)

    smss.exe (smss) :
    Dans la majorité des cas :
    Démarre la session de l'utilisateur (obligatoire)

    spoolsv.exe (spoolsv) :
    Dans la majorité des cas :
    Service lancé par Windows dès le démarrage du PC (obligatoire)
    Spooler d'impression (obligatoire)

    svchost.exe (svchost) :
    Dans la majorité des cas :
    S'occupe de nombreux services de Windows : messages, journaux, pilotes, ... C'est pour cette raison qu'il apparaît plusieurs fois dans la liste des processus (obligatoire)
    Dans certains cas :
    Virus win32/hllw.nachi.b (illégitime)

    taskbaricon.exe (taskbaricon) :
    Dans la majorité des cas :
    Icone de Wanadoo dans la barre des tâches (utile)

    taskmgr.exe (taskmgr) :
    Dans la majorité des cas :
    Fenêtre qui s'affiche lorsqu'on tape Ctrl+Shift+Echap (obligatoire)

    tca.exe (tca) :
    Dans la majorité des cas :
    Logiciel The cleaner (utile)

    tcm.exe (tcm) :
    Dans la majorité des cas :
    Logiciel The Cleaner (utile)

    winampa.exe (winampa) :
    Dans la majorité des cas :
    Logiciel WinAmp (utile)
    Dans certains cas :
    Virus W32/Spybot-BR (illégitime)

    winlogon.exe (winlogon) :
    Dans la majorité des cas :
    Gère les ouvertures et fermetures de session (obligatoire)
    Dans certains cas :
    Il s'agit d'un virus s'il est placé dans le dossier c:\windows (illégitime)
    Virus clicker:win32/xmedia.g (illégitime)
    Virus Netsky s'il est placé dans le répertoire c:\windows\ (illégitime)

    xcommsvr.exe (xcommsvr) :
    Dans la majorité des cas :
    Antivirus BitDefender (obligatoire)

    Du coup j'ai 2 doutes: Un sur winlogon.exe car j'en ai 2 : 1 dans C:\WINDOWS\system32 et un dans C:\WINDOWS\SevicePackFiles\i386. (mais ça date de 2002!)

    Et un doute aussi sur la présence de "Sasser" sur mon pc car tout à l'heure j'ai eu l'UC qui s'est bloquée à 100% et le processus Isass tournait à "fond" (j'ai du terminer le processus pour m'en sortir).

    J'ai donc lancé FxSasser mais apparemment il n'a rien trouvé.
    Prochaine étape?
    0
  17. Scan4012 Messages postés 16 Date d'inscription   Statut Membre
     
    apparemment j'avais pas désactivé la restauration systéme, maintenant c'est fait!
    0
  18. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    donc c est ok ou pas
    0
  19. Scan4012 Messages postés 16 Date d'inscription   Statut Membre
     
    Bonsoir,
    Le dernier ravantivirus qui vient de se finir donne ceci, les pages internet continuent de s'ouvrir...

    Scan started at 02/05/2004 21:58:19

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\Administrateur\Application Data\maus.exe->(UPXW)->(EXEEmb) - Clicker:Win32/BuddyLinks.A -> Infected
    C:\Recycled\1.exe - TrojanDownloader:Win32/Small.FO -> Suspicious

    Scanned
    ============================
    Objects: 19508
    Directories: 1649
    Archives: 787
    Size(Kb): -1912890
    Infected files: 1

    Found
    ============================
    Viruses found: 1
    Suspicious files: 1
    Disinfected files: 0
    Mail files: 154
    0
  • 1
  • 2