Trojan Proxy-Mitglieder

Question

Salut à tousJ'ai été attaqué par le cheval de troie suivant : Proxy-MitgliederJe l'ai repéré avec Virus Scan de McAfee, mais

cassius · Answer

Salut à tous J'ai été attaqué par le cheval de troie suivant : Proxy-Mitglieder Je l'ai repéré avec Virus Scan de McAfee, mais IMPOSSIBLE de le supprimer.Que dois-je faire?merci d'avance

balltrap34 · Answer

saluttente un scan avec ton anti virus en mode sans echecla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

okmais je nesais pas comment faire pour 1 scan en mode sans echecmerci je vais aller faire 1 tour sur ton site

balltrap34 · Answer

salut
redemarre en mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal
la tu fait un scan avec ton anti virus

la chasse et le balltrap ma vrai passion
voir site perso dans profil

cassius · Answer

J'ai redamarré en mode sans echec et j'ai lancé mon antivirus qui a trouvé : 1 programme douteux en plus du trojan Proxy-Mitglieder
Mais là aussi impossible de les nettoyer, les supprimer oules mettre en quarantaine.
J'ai aussi lancé Spybot qui m'a détécté et corrigé des spywares
mais j'ai toujours le même pb : IMPOSSIBLE DE SUPPRIMER CE CHEVAL DE TROIE!!! GRRR!!
QQUN AURAIT UNE SOLUTION?

balltrap34 · Answer

redonne nous le chemin que te donne ton avla chasse et le balltrap ma vrai passionvoir site perso dans profil

Utilisateur anonyme · Answer

et c quoi ton system d'exploitation ( xp , win 2000....ect ) ???@++++

cassius · Answer

Salut jess15 et tous ceux qui pourrait m'aider,

Il y a du nouveau :

1.Spybot S.D m'a détecté des erreurs qu'il supprime mais elles reviennent à chaque fois.
2. virus scan ne detecte plus de virus.

J'ai alors cru à la suppresion du virus qui m'affiche une page de demarrage à mon insu (de mon plein gré c.f l'autre)lol
Mais non j'ai toujours le pb même si spybot le supprime pour qq instants.

Voici mes données :

je suis sous windows ME
le rapport de spybot après suppression :

_____________________________DSO Exploit: Data source object exploit (Modification du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

Common hijacker: Prefix change (Modification du registre, fixed)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www!=http://

Common hijacker: Prefix change (Modification du registre, fixed)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\!=http://

Spex: R‚glages (Cl‚ du registre, fixed)
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}

Spex: Class ID (Cl‚ du registre, fixed)
HKEY_CLASSES_ROOT\CLSID\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}

Spex: Class ID (Cl‚ du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}

Spex: R‚glages (Cl‚ du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}

--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-08-20 Includes\Dialer.sbi
2004-08-20 Includes\Hijackers.sbi
2004-08-20 Includes\Keyloggers.sbi
2004-08-20 Includes\Malware.sbi
2004-08-12 Includes\Revision.sbi
2004-08-11 Includes\Security.sbi
2004-08-20 Includes\Spybots.sbi
2004-08-20 Includes\Trojans.sbi
2004-05-12 Includes\LSP.sbi
2004-08-12 Includes\Tracks.uti____________________

Niouws · Answer

Essaye de redémarrer en mode sans echec avec norton antivirus ou kaspersky ils sont plus performant

cassius · Answer

ok mais je l'ai déjà fait avec virus scan et ca n'a rien donné.
Je n'ai aucun des 2 AV que tu me conseille
Je gère la crise avec spybot mais le pb recurrent

merci qd même
je suis tj à l'écoute d'un solution
a+

cassius · Answer

helloqqun aurait un conseilLa page de démarrage revient et si je re-paramètre mes options internet ca fonctionne à nouveau, mais je ne suis pas à l'abri d'1 nouveau changement

balltrap34 · Answer

salut
Hijackthis : http://209.133.47.200/~merijn/files/ HijackThis.exe
http://pageperso.aol.fr/Balltrap34/HijackThis.exe

Fais scan puis save log et colle le contenu du fichier texte qui s'affiche

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Utilisateur anonyme · Answer

salut balltrap :-) ta semaine c'est bien passé ? @++++

balltrap34 · Answer

salut jesselle est pas fini je repart demain matinla chasse et le balltrap ma vrai passionvoir site perso dans profil

Utilisateur anonyme · Answer

re.. alors  je te souhaite bon courage et bonne route :-) @++++

balltrap34 · Answer

mercia++la chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

Salut,

D'abord je tenais à vous remercier de votre aide , voici le scan de HijackThis :

Logfile of HijackThis v1.98.2
Scan saved at 11:46:56, on 27/08/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAM FILES\SAGEM\SAGEM F@ST800\DSLMON.EXE
C:\PROGRAM FILES\INCREDIMAIL\BIN\IMAPP.EXE
C:\UTILISATION COURANTE\FONCTIONNEMENT ORDI\HIJACKTHIS ANTI VIRUS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Initialize8x8] C:\WINDOWS\pinnacle\PCTV\8x8_init.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE" /SU
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [McAfee Firewall] "C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE" /SERVICE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [GuardDogEXE] "C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE" /SERVICE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [\Pribi.exe] C:\WINDOWS\ALLUSE~1\APPLIC~1\PRIBI\Pribi.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=14&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=14&q=
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24ef8726a3a3baa31518/netzip/RdxIE601_fr.cab
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\jobwvdwe.exe
O16 - DPF: {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} -

balltrap34 · Answer

salut
relance hijack en mode sans echec coche et fix ces lignes
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=14&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=14&q=
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\jobwvdwe.exe

on dirait qu il manque la fin du rapport

la chasse et le balltrap ma vrai passion
voir site perso dans profil

cassius · Answer

oui j'ai supprimé des lignes qui concernaient ma e-carte bleue
le forum étant ouvert à tous...
Bien que je ne sache pas si ces infos étaient utilisables.
Bon je vais suivre tes conseils et te tiens au courant
a+

balltrap34 · Answer

resi tu nas masquer que ces lignes okla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

c'est fait mais le pb est toujours là et les lignes suivantes aussi :R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=14&q= O13 - WWW Prefix: http://www.heretofind.com/show.php?id=14&q= O13 - Home Prefix: http://www.heretofind.com/show.php?id=14&q= O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=14&q= O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=14&q=

balltrap34 · Answer

salutfait une recherche dans la base de registre et dit moi si tu trouve ceci063D839D-027A-05E7-876B-9D385331DF7CouC814689A-590A-11B1-A32D-33B88FA32865et essai aussi avec cet syntaxec814689a-590a-11b1-a32d-33b88fa32865063d839d027a05e7876b9d385331df7cla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

Salut,Tu veut parler d'une recherche sur C:   ? Si c'est bien cela la recherche n'a rien donnée.Merci a+

balltrap34 · Answer

non pas sur csur ta base de registre tu click sur demarrer executer tu tape regeditla tu click sur rechercher et a tour de role tu colle une ligne que je t ai mis puis tu tape f3 a chaque ligne trouverpour passer tous le registre a la fin tu recommence avec la deuxieme et ainsi de suite si tu les trouve note l emplacement et dit le moi ne supprime rienla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

salut,j'ai trouvé avec 063d839d027a05e7876b9d385331df7c   le chemin d'accès suivant :HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRUdedans il ya 26" fichiers"a+

balltrap34 · Answer

salutqui a t il dans ces fichier stpla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

salut,voici les fichiers :(valeur non définie)Downloader.Imloaderimloader.exeflash player063d839d027a05e7876b9d385331df7cC814689A-59.0A-11B1-A32D-33B88FA32865063D839D-027A-05E7-876B-9D385331DF7CInternet ExplorerAdobe Universal PostScript Driver Installer1.0.6resultat spybotnote padnotepadMcAfeedailyscanA0182224.CPYA0206344.CPYpleasure zoneDialer-genFS775.CABstart.html#voilà, j'espère qu'avec cela tu vas pouvoir me débarrasser de cette M....a+

balltrap34 · Answer

reexporte cet branche  pour la sauvegarder et supprime tous ce qui est dans cette brancheredemarre et remet ta page de demarrageredemarre a nouveau pour voir si cela tientsi tu as un probleme tu importe a nouveau la branche dans le registre pour restaurerla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

ca y est!!!!mille merci balltrap34!!que l'internet soit avec toi!

cassius · Answer

hello balltrap 34fausse joie le pb est tj làj'ai supprimé la branche C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU  et ca a marché 1 court instantque dois-je faire?

balltrap34 · Answer

repost moi un hijackun nouveaula chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

salut,voilà le rapport :Logfile of HijackThis v1.98.2Scan saved at 09:10:50, on 04/09/2004Platform: Windows ME (Win9x 4.90.3000)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\SYSTEM\KERNEL32.DLLC:\WINDOWS\SYSTEM\MSGSRV32.EXEC:\WINDOWS\SYSTEM\mmtask.tskC:\WINDOWS\SYSTEM\MPREXE.EXEC:\WINDOWS\SYSTEM\MSTASK.EXEC:\WINDOWS\SYSTEM\SSDPSRV.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXEC:\WINDOWS\SYSTEM\STIMON.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXEC:\WINDOWS\SYSTEM\TAPISRV.EXEC:\WINDOWS\SYSTEM\RESTORE\STMGR.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXEC:\WINDOWS\EXPLORER.EXEC:\WINDOWS\TASKMON.EXEC:\WINDOWS\SYSTEM\SYSTRAY.EXEC:\PROGRAM FILES\AHEAD\INCD\INCD.EXEC:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXEC:\WINDOWS\SYSTEM\WMIEXE.EXEC:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXEC:\WINDOWS\RunDLL.exeC:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXEC:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXEC:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXEC:\WINDOWS\SYSTEM\RNAAPP.EXEC:\UTILISATION COURANTE\FONCTIONNEMENT ORDI\ANTI VIRUS\HIJACK THIS\HIJACKTHIS ANTI VIRUS.EXER1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%sR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%sR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - (no file)O2 - BHO: (no name) - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - (no file)O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLLO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCXO4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorunO4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS	askmon.exeO4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -sO4 - HKLM\..\Run: [SystemTray] SysTray.ExeO4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\Run: [Initialize8x8] C:\WINDOWS\pinnacle\PCTV\8x8_init.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exeO4 - HKLM\..\Run: [McAfee Guardian] "C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE" /SUO4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exeO4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exeO4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exeO4 - HKLM\..\RunServices: [McAfee Firewall] "C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE" /SERVICEO4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXEO4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXEO4 - HKLM\..\RunServices: [GuardDogEXE] "C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE" /SERVICEO4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRYO4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /cO4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITORO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exeO4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXEO4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exeO8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\binesources\WebMenuImg.htmO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=14&q=O13 - WWW Prefix: http://www.heretofind.com/show.php?id=14&q=O13 - Home Prefix: http://www.heretofind.com/show.php?id=14&q=O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=14&q=O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=14&q=O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24ef8726a3a3baa31518/netzip/RdxIE601_fr.cabO16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocxO16 - DPF: {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - O16 - DPF: {10000000-1000-0000-1000-000000000000} - a+

balltrap34 · Answer

salututilise ceci pour voir les servicesTélécharger ce petit programme qui nous donnera la liste des services :  http://d21c.com/Tom41/get_active_services_179_161.zip  Le poser sur le bureau. Le lancer. Copier/coller le fichier texte qui apparaît.la chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

salut,cela n'a rien donné car j'ai un mess qui me dit que le fichier  " get active service" est introuvable, alors qu'il a bien été extrait et installé sur le bureau...j'attends la suite merci a+

balltrap34 · Answer

normal j ai pas fait attention tu as 98fait cecihttp://downloads.subratam.org/Win98fix.zipDécompresse-le dans son propre dossier.  -Ouvre le dossier et double-clique sur RunFix.reg. Réponds "oui" à la question qui suit.  -Redémarre.  ensuiteFaite scan en ligne et coller le rapport ici sur le postutiliser l'antivirus en ligne suivant : http://www.ravantivirus.com/scan/  Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.   Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"A la fin de l'analyse, copier/coller le rapport ici.la chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

salut balltrap34,impossible de faire le scan car la mise à jour échoue :Please wait to update the virus definitions...Updating from: http://www.ravantivirus.comUpdating from: ftp://ftp.us.ravantivirus.comUpdating from: http://www.rav.roUpdating from: ftp://ftp.ro.ravantivirus.comUpdating from: ftp://ftp.ravantivirus.comUpdating from: ftp://ftp.us.ravantivirus.comUpdating from: http://ftp.us.ravantivirus.comUpdating from: ftp://ftp.ro.ravantivirus.comUpdating from: http://ftp.ro.ravantivirus.comUpdate failed !undefinedj'ai essayé + de 5 fois et j'ai attendu après le mess mais rien ne se passemerci pour d'autres infos et a+

balltrap34 · Answer

rea tu fait le 1 er log que je t ai mis au n°35la chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

salut,si tu veut parler de l'installation de runfix ca a bien été fait.a+

balltrap34 · Answer

re si tu as fait run fix refait un hijack et met moi le rapportla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

ok  voilà le rapport :Logfile of HijackThis v1.98.2Scan saved at 21:27:46, on 06/09/2004Platform: Windows ME (Win9x 4.90.3000)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\SYSTEM\KERNEL32.DLLC:\WINDOWS\SYSTEM\MSGSRV32.EXEC:\WINDOWS\SYSTEM\MPREXE.EXEC:\WINDOWS\SYSTEM\MSTASK.EXEC:\WINDOWS\SYSTEM\SSDPSRV.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXEC:\WINDOWS\SYSTEM\STIMON.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXEC:\WINDOWS\SYSTEM\mmtask.tskC:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXEC:\WINDOWS\SYSTEM\RESTORE\STMGR.EXEC:\WINDOWS\SYSTEM\TAPISRV.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXEC:\WINDOWS\EXPLORER.EXEC:\WINDOWS\TASKMON.EXEC:\WINDOWS\SYSTEM\SYSTRAY.EXEC:\PROGRAM FILES\AHEAD\INCD\INCD.EXEC:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXEC:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXEC:\WINDOWS\RunDLL.exeC:\WINDOWS\SYSTEM\WMIEXE.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXEC:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXEC:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXEC:\PROGRAM FILES\SAGEM\SAGEM F@ST800\DSLMON.EXEC:\PROGRAM FILES\INCREDIMAIL\BIN\IMAPP.EXEC:\WINDOWS\SYSTEM\RNAAPP.EXEC:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXEC:\UTILISATION COURANTE\FONCTIONNEMENT ORDI\ANTI VIRUS\HIJACK THIS\HIJACKTHIS ANTI VIRUS.EXER1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%sR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%sR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - (no file)O2 - BHO: (no name) - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - (no file)O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLLO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCXO4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorunO4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS	askmon.exeO4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -sO4 - HKLM\..\Run: [SystemTray] SysTray.ExeO4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\Run: [Initialize8x8] C:\WINDOWS\pinnacle\PCTV\8x8_init.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exeO4 - HKLM\..\Run: [McAfee Guardian] "C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE" /SUO4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exeO4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exeO4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exeO4 - HKLM\..\RunServices: [McAfee Firewall] "C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE" /SERVICEO4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXEO4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXEO4 - HKLM\..\RunServices: [GuardDogEXE] "C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE" /SERVICEO4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRYO4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /cO4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITORO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exeO4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXEO4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exeO8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\binesources\WebMenuImg.htmO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)O13 - DefaultPrefix: O13 - WWW Prefix: O13 - Home Prefix: O13 - Mosaic Prefix: O13 - FTP Prefix: O13 - Gopher Prefix: O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24ef8726a3a3baa31518/netzip/RdxIE601_fr.cabO16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocxO16 - DPF: {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - O16 - DPF: {10000000-1000-0000-1000-000000000000} - O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

cassius · Answer

salut, j'ai tj ma page de demarrage qui est piratée : mk:@MSITStore:C:\spe\start.chm::/start.html# ce qui me connecte sur 1 site pornoqq peut-il m'aider a interpréter le hijack coolé plus haut?merci à+

Diams · Answer

Source KAPERSKYCette nouvelle variante de ' I-Worm.Bagle ' ressemble beaucoup à son prédécesseur au niveau fonctionnel. Le programme malicieux se propage via le courrier électronique en tant que pièce-jointe. Cette pièce-jointe est un fichier exécutable Windows de 11 Ko. L'objet du message est ' ID x: thanks ' et le corps, ' Yours ID x: Thank ' où x représente une succession aléatoire de caractères. Une fois que le fichier a été exécuté, le ver se copie dans le répertoire système de Windows et modifie la clé de la base de registre qui gère les lancements automatiques. Afin de désorienter l'utilisateur, le ver provoque le démarrage de l'utilitaire Windows standard Sound Recorder (sndrec32.exe). Par la suite, Bagle.b tente d'établir une connexion avec quelques sites distants qui sont liés d'une manière ou d'une autre au cheval de Troie proxy TrojanProxy.Win32.Mitglieder. A l'heure actuelle, toutes les sources réseau pour le téléchargement de Mitglieder ont été neutralisées et ' I-Worm.Bagle ' ne peut plus utiliser cette technologie pour accélérer le rythme de sa diffusion. Ceci étant dit, c'est la partie cheval de Troie du ver qui représente la plus grande menace pour l'ordinateur infecté. Elle ouvre en effet le port 8866 et surveille son activité. Les personnes mal intentionnées peuvent ainsi administrer l'ordinateur à distance. Ils peuvent notamment exécuter différentes commandes et télécharger des fichiers pour les consulter. A toi de mesurer la menaceSI je trouve un lien je le postehttp://www.kaspersky.com/fr/news.html?id=3504262Désactive ton AV et essaie leur AV en ligneA++Eric

Diams · Answer

Look le REMOVALhttp://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=39206Bonne chanceEric

Diams · Answer

Plus clair et de source Sophos Informations sur le virus Troj/Bagle-Y Récapitulatif Récapitulatif Description Désinfection Profil Nom Troj/Bagle-Y Type Cheval de Troie Alias I-Worm.Bagle.x W32/Bagle.y@MM Protection Protection disponible depuis le 29 avril 2004 14:21:59 (GMT) Inclus dans notre produit depuis Juin 2004 (3.82) Maintien à jour Si vous n'utilisez pas encore notre technologie de mise à jour automatique, essayez EM Library, une partie de la suite d'outils de gestion Enterprise Manager, qui permet sur un grand nombre de plates-formes l'installation et la mise à jour complètement automatisées de Sophos Anti-Virus par l'intermédiaire du web. Description Récapitulatif Description Désinfection Cette section vous aide à comprendre comment ce virus se comporte. Troj/Bagle-Y est un cheval de Troie de porte dérobée proxy. Il se copie dans le dossier système Windows et crée deux fichiers supplémentaires nommés iinj4.exe et system.exe. Pour s'exécuter automatiquement lorsqu'un utilisateur ouvre une session, le ver crée également dans le registre l'entrée suivante : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ssgrate.exe=%SYSTEM%\irun4.exe Les entrées suivantes sont également créées dans le registre : HKCU\Software\Timeout\uid = . HKCU\Software\Timeout\pid = HKCU\Software\Timeout\port = Les données peuvent être réacheminées vers d'autres ordinateurs via le proxy pour ignorer les restrictions d'accès et cacher l'adresse IP de l'ordinateur source. Le proxy peut être utilisé pour réacheminer un courriel SPAM. Troj/Bagle-Y tente de mettre fin aux applications de sécurité concernées. Lorsque le cheval de Troie s’exécute, il lance un relais SMTP sur le port TCP 25 et une porte dérobée sur un port aléatoire variant entre 2000 et 50000. Le cheval de Troie essaie d’envoyer des informations de connexion aux sites ci-dessous. www.lowenbrau.ru/manager_old/images/ngr2.php www.ctn.ru/marketing/images/ngr2.php alfinternational.ru/old/oli-lack_katalog/ngr2.php www.psnr.ru/rus/images/banners/ngr2.php www.gasterixx.de/gfx/ngr2.php www.deadlygames.de/DG/BF/BF-Links/clans/ngr2.php www.o-problemo.de/gaestebuch/ngr2.php www.tv87.de/subdomain_la/Fachwart/ngr2.php www.ranknet.de/LVS/pics/_notes/ngr2.php www.joerrens.de/system/include/crc.php www.bbszene.de/store/images/video_amazon/ngr2.php www.gebr-wachs.de/mod/san_beratung/thumb/ngr2.php www.lords-of-havoc.de/Avatare/ngr2.php comdat.de/kreta/ngr2.php www.eurostretch.ru/ngr2.php mir-auto.ru/ngr2.php artesproduction.com/ngr2.php www.hhc-online.de/home/links/pics/ngr2.php gaz-service.ru/img/pict/ngr2.php rdwufa.ru/img/pict/ngr5.php www.komandor.ru/sessions/ngr2.php www.mirage.ru/sport/omega/pic/omega/ngr2.php prizmapr.ru/test/images/ngr2.php avistrade.ru/prog/img/proizvod/ngr2.php service6.valuehost.ru/images/ngr2.php www.thomas-we.de/Design/ngr2.php partiyazerna.1gb.ru/menu/analitika/ngr2.php pvcps.ru/images/ngr2.php monomah-city.ru/vakans/ngr2.php mir-vesov.ru/p/lang/CVS/ngr2.php promco.ru/sovrem/panorama/ngr2.php www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/ngr2.php die-cliquee.de/inhalt/mitglieder/foto/ngr2.php Désinfection Récapitulatif Description Désinfection Cette section vous indique comment procéder à la désinfection de ce virus. Veuillez suivre les instructions de suppression des chevaux de Troie. Windows NT/2000/XP/2003 Dans Windows NT/2000/XP/2003, vous devez aussi modifier l’entrée du registre suivante. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l’avertissement concernant la modification du registre. Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L’éditeur de registre s’ouvre. Avant de modifier le registre, effectuez une sauvegarde. Dans le menu “Registre”, cliquez sur “Exporter un fichier du Registre”. Dans la zone “Etendue de l’exportation”, cliquez sur “Tout” puis enregistrez votre registre sous Backup. Recherchez l’entrée HKEY_LOCAL_MACHINE : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ ssgrate.exe=%SYSTEM%\irun4.exe et supprimez-la si elle existe. Fermez l’éditeur du registre. Pour trouver l'info j'utilise Copernic Agent Eric

balltrap34 · Answer

retu as spybotpasse le fait corriger les problemes ensuiteclick sur vaccinationenbas de la fenetre coche enable permanent blockinget met sur bloquer les mauvaise pages silencieusementla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

salut,Diams, j'ai déjà scanné mon pc avec kapersky qui n'a rien trouvé, avant lui , virus scan ne détectait plus de trojan.Néanmoins j'ai tj la page de démarrage piratée...Quand la clé, du registre elle n'existe pas ( de tte manière comme ton post le disait, cela ne concernait pas Windows ME)Balltrap,est-ce que la manip vadétruire le trojan ou seulement le  bloquer?Maintenant je navigue via mozilla ff et même si la page est tj piratée dans le menu option internet, elle ne peut plus s'afficher.  Mais j'aimerais qd même éradiquer cette M...A bon entendeur!!!@+

balltrap34 · Answer

re si spy la dans sa base il vas le nettoyer et ensuite tu bloque la page et tu seras tranquilela chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

ok   merci

boom · Answer

helloj'ai eu le meme probleme et j'ai supprimé les lignes qui comportaient que des chiffres(sans le nom qui suit)O16 - DPF: {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - O16 - DPF: {10000000-1000-0000-1000-000000000000} -Ainsi que tous ceux làO13 - DefaultPrefix: O13 - WWW Prefix: O13 - Home Prefix: O13 - Mosaic Prefix: O13 - FTP Prefix: O13 - Gopher Prefix:Et egalement ceux laR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens essaye de les enlever par petits paquets.A priori moi j'ai plus cette m....

Trojan Proxy-Mitglieder

49 réponses

Votre réponse

Discussions similaires

Newsletters