Trojan Proxy-Mitglieder

Question

Salut à tousJ'ai été attaqué par le cheval de troie suivant : Proxy-MitgliederJe l'ai repéré avec Virus Scan de McAfee, mais

cassius · Answer

Salut à tous J'ai été attaqué par le cheval de troie suivant : Proxy-Mitglieder Je l'ai repéré avec Virus Scan de McAfee, mais IMPOSSIBLE de le supprimer.Que dois-je faire?merci d'avance

balltrap34 · Answer

saluttente un scan avec ton anti virus en mode sans echecla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

okmais je nesais pas comment faire pour 1 scan en mode sans echecmerci je vais aller faire 1 tour sur ton site

balltrap34 · Answer

salutredemarre en mode sans echec pour cela tu tapote la touche f8 des le debut de l allumage du pc sans t arreter une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal la tu fait un scan avec ton anti virusla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

J'ai redamarré en mode sans echec et j'ai lancé mon antivirus qui a trouvé : 1 programme douteux en plus du trojan Proxy-MitgliederMais là aussi impossible de les nettoyer, les supprimer oules mettre en quarantaine.J'ai aussi lancé Spybot qui m'a détécté et corrigé des spywaresmais j'ai toujours le même pb : IMPOSSIBLE DE SUPPRIMER CE CHEVAL DE TROIE!!! GRRR!!QQUN AURAIT UNE SOLUTION?

balltrap34 · Answer

redonne nous le chemin que te donne ton avla chasse et le balltrap ma vrai passionvoir site perso dans profil

Utilisateur anonyme · Answer

et c quoi ton system d'exploitation ( xp , win 2000....ect ) ???@++++

cassius · Answer

Salut jess15 et tous ceux qui pourrait m'aider,Il y a du nouveau : 1.Spybot S.D m'a détecté des erreurs qu'il supprime mais elles reviennent à chaque fois.2. virus scan ne detecte plus de virus.J'ai alors cru à la suppresion du virus qui m'affiche une page de demarrage à mon insu (de mon plein gré c.f l'autre)lolMais non j'ai toujours le pb même si spybot le supprime pour qq instants.Voici mes données :je suis sous windows MEle rapport de spybot après suppression :_____________________________DSO Exploit: Data source object exploit (Modification du registre, fixed)  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3Common hijacker: Prefix change (Modification du registre, fixed)  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www!=http://Common hijacker: Prefix change (Modification du registre, fixed)  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\!=http://Spex: R‚glages (Cl‚ du registre, fixed)  HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}Spex: Class ID (Cl‚ du registre, fixed)  HKEY_CLASSES_ROOT\CLSID\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}Spex: Class ID (Cl‚ du registre, fixed)  HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}Spex: R‚glages (Cl‚ du registre, fixed)  HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}--- Spybot - Search && Destroy version: 1.3  ---2004-08-11 Includes\Cookies.sbi2004-08-20 Includes\Dialer.sbi2004-08-20 Includes\Hijackers.sbi2004-08-20 Includes\Keyloggers.sbi2004-08-20 Includes\Malware.sbi2004-08-12 Includes\Revision.sbi2004-08-11 Includes\Security.sbi2004-08-20 Includes\Spybots.sbi2004-08-20 Includes\Trojans.sbi2004-05-12 Includes\LSP.sbi2004-08-12 Includes\Tracks.uti____________________

Niouws · Answer

Essaye de redémarrer en mode sans echec avec norton antivirus ou kaspersky ils sont plus performant

cassius · Answer

ok mais je l'ai déjà fait avec virus scan et ca n'a rien donné.Je n'ai aucun des 2 AV que tu me conseilleJe gère la crise avec spybot mais le pb recurrentmerci qd mêmeje suis tj à l'écoute d'un solutiona+

cassius · Answer

helloqqun aurait un conseilLa page de démarrage revient et si je re-paramètre mes options internet ca fonctionne à nouveau, mais je ne suis pas à l'abri d'1 nouveau changement

balltrap34 · Answer

salutHijackthis : http://209.133.47.200/~merijn/files/ HijackThis.exe                   http://pageperso.aol.fr/Balltrap34/HijackThis.exeFais scan puis save log et colle le contenu du fichier texte qui s'affichela chasse et le balltrap ma vrai passionvoir site perso dans profil

Utilisateur anonyme · Answer

salut balltrap :-) ta semaine c'est bien passé ? @++++

balltrap34 · Answer

salut jesselle est pas fini je repart demain matinla chasse et le balltrap ma vrai passionvoir site perso dans profil

Utilisateur anonyme · Answer

re.. alors  je te souhaite bon courage et bonne route :-) @++++

balltrap34 · Answer

mercia++la chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

Salut,D'abord je tenais à vous remercier de votre aide , voici le scan de HijackThis :Logfile of HijackThis v1.98.2Scan saved at 11:46:56, on 27/08/2004Platform: Windows ME (Win9x 4.90.3000)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\SYSTEM\KERNEL32.DLLC:\WINDOWS\SYSTEM\MSGSRV32.EXEC:\WINDOWS\SYSTEM\mmtask.tskC:\WINDOWS\SYSTEM\MPREXE.EXEC:\WINDOWS\SYSTEM\MSTASK.EXEC:\WINDOWS\SYSTEM\SSDPSRV.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXEC:\WINDOWS\SYSTEM\STIMON.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXEC:\WINDOWS\SYSTEM\TAPISRV.EXEC:\WINDOWS\SYSTEM\RESTORE\STMGR.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXEC:\WINDOWS\EXPLORER.EXEC:\WINDOWS\TASKMON.EXEC:\WINDOWS\SYSTEM\SYSTRAY.EXEC:\PROGRAM FILES\AHEAD\INCD\INCD.EXEC:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXEC:\WINDOWS\SYSTEM\WMIEXE.EXEC:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXEC:\WINDOWS\RunDLL.exeC:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXEC:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXEC:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXEC:\PROGRAM FILES\SAGEM\SAGEM F@ST800\DSLMON.EXEC:\PROGRAM FILES\INCREDIMAIL\BIN\IMAPP.EXEC:\UTILISATION COURANTE\FONCTIONNEMENT ORDI\HIJACKTHIS ANTI VIRUS.EXER1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%sR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%sR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - (no file)O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: (no name) - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - (no file)O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCXO3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLLO4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorunO4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS	askmon.exeO4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -sO4 - HKLM\..\Run: [SystemTray] SysTray.ExeO4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\Run: [Initialize8x8] C:\WINDOWS\pinnacle\PCTV\8x8_init.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exeO4 - HKLM\..\Run: [autoclk] autoclk.exeO4 - HKLM\..\Run: [McAfee Guardian] "C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE" /SUO4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exeO4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exeO4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exeO4 - HKLM\..\RunServices: [McAfee Firewall] "C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE" /SERVICEO4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXEO4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXEO4 - HKLM\..\RunServices: [GuardDogEXE] "C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE" /SERVICEO4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRYO4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /cO4 - HKCU\..\Run: [\Pribi.exe] C:\WINDOWS\ALLUSE~1\APPLIC~1\PRIBI\Pribi.exeO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITORO4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exeO4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXEO4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exeO8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\binesources\WebMenuImg.htmO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=14&q=O13 - WWW Prefix: http://www.heretofind.com/show.php?id=14&q=O13 - Home Prefix: http://www.heretofind.com/show.php?id=14&q=O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=14&q=O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=14&q=O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24ef8726a3a3baa31518/netzip/RdxIE601_fr.cabO16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocxO16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\jobwvdwe.exeO16 - DPF: {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} -

balltrap34 · Answer

salutrelance hijack en mode sans echec coche et fix ces lignesR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing) O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=14&q= O13 - WWW Prefix: http://www.heretofind.com/show.php?id=14&q= O13 - Home Prefix: http://www.heretofind.com/show.php?id=14&q= O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=14&q= O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=14&q= O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\jobwvdwe.exe on dirait qu il manque la fin du rapportla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

oui j'ai supprimé des lignes qui concernaient ma e-carte bleuele forum étant ouvert à tous...Bien que je ne sache pas si ces infos étaient utilisables.Bon je vais suivre tes conseils et te tiens au courant a+

balltrap34 · Answer

resi tu nas masquer que ces lignes okla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

c'est fait mais le pb est toujours là et les lignes suivantes aussi :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#

O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=14&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=14&q=

balltrap34 · Answer

salut
fait une recherche dans la base de registre et dit moi si tu trouve ceci
063D839D-027A-05E7-876B-9D385331DF7C
ou
C814689A-590A-11B1-A32D-33B88FA32865
et essai aussi avec cet syntaxe
c814689a-590a-11b1-a32d-33b88fa32865

063d839d027a05e7876b9d385331df7c

la chasse et le balltrap ma vrai passion
voir site perso dans profil

cassius · Answer

Salut,Tu veut parler d'une recherche sur C:   ? Si c'est bien cela la recherche n'a rien donnée.Merci a+

balltrap34 · Answer

non pas sur c
sur ta base de registre tu click sur demarrer executer tu tape regedit
la tu click sur rechercher et a tour de role tu colle une ligne que je t ai mis puis tu tape f3 a chaque ligne trouver
pour passer tous le registre a la fin tu recommence avec la deuxieme et ainsi de suite si tu les trouve note l emplacement et dit le moi ne supprime rien

la chasse et le balltrap ma vrai passion
voir site perso dans profil

cassius · Answer

salut,

j'ai trouvé avec 063d839d027a05e7876b9d385331df7c
le chemin d'accès suivant :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU
dedans il ya 26" fichiers"

a+

balltrap34 · Answer

salutqui a t il dans ces fichier stpla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

salut,

voici les fichiers :

(valeur non définie)
Downloader.Imloader
imloader.exe
flash player
063d839d027a05e7876b9d385331df7c
C814689A-59.0A-11B1-A32D-33B88FA32865
063D839D-027A-05E7-876B-9D385331DF7C
Internet Explorer
Adobe Universal PostScript Driver Installer1.0.6
resultat spybot
note pad
notepad
McAfee
dailyscan
A0182224.CPY
A0206344.CPY
pleasure zone
Dialer-gen
FS775.CAB
start.html#

voilà, j'espère qu'avec cela tu vas pouvoir me débarrasser de cette M....
a+

balltrap34 · Answer

re
exporte cet branche pour la sauvegarder et supprime tous ce qui est dans cette branche
redemarre et remet ta page de demarrage
redemarre a nouveau pour voir si cela tient
si tu as un probleme tu importe a nouveau la branche dans le registre pour restaurer

la chasse et le balltrap ma vrai passion
voir site perso dans profil

cassius · Answer

ca y est!!!!mille merci balltrap34!!que l'internet soit avec toi!

cassius · Answer

hello balltrap 34fausse joie le pb est tj làj'ai supprimé la branche C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU  et ca a marché 1 court instantque dois-je faire?

balltrap34 · Answer

repost moi un hijackun nouveaula chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

salut,

voilà le rapport :

Logfile of HijackThis v1.98.2
Scan saved at 09:10:50, on 04/09/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXE
C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\UTILISATION COURANTE\FONCTIONNEMENT ORDI\ANTI VIRUS\HIJACK THIS\HIJACKTHIS ANTI VIRUS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - (no file)
O2 - BHO: (no name) - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Initialize8x8] C:\WINDOWS\pinnacle\PCTV\8x8_init.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE" /SU
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [McAfee Firewall] "C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE" /SERVICE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [GuardDogEXE] "C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE" /SERVICE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=14&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=14&q=
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24ef8726a3a3baa31518/netzip/RdxIE601_fr.cab
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} -
O16 - DPF: {10000000-1000-0000-1000-000000000000} -

a+

balltrap34 · Answer

salut
utilise ceci pour voir les services
Télécharger ce petit programme qui nous donnera la liste
des services :

http://d21c.com/Tom41/get_active_services_179_161.zip

Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.

la chasse et le balltrap ma vrai passion
voir site perso dans profil

cassius · Answer

salut,

cela n'a rien donné car j'ai un mess qui me dit que le fichier " get active service" est introuvable, alors qu'il a bien été extrait et installé sur le bureau...

j'attends la suite
merci

a+

balltrap34 · Answer

normal j ai pas fait attention tu as 98
fait ceci
http://downloads.subratam.org/Win98fix.zip
Décompresse-le dans son propre dossier.
-Ouvre le dossier et double-clique sur RunFix.reg. Réponds "oui" à la question qui suit.
-Redémarre.
ensuite
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.

la chasse et le balltrap ma vrai passion
voir site perso dans profil

cassius · Answer

salut balltrap34,

impossible de faire le scan car la mise à jour échoue :
Please wait to update the virus definitions...
Updating from: http://www.ravantivirus.com
Updating from: ftp://ftp.us.ravantivirus.com
Updating from: http://www.rav.ro
Updating from: ftp://ftp.ro.ravantivirus.com
Updating from: ftp://ftp.ravantivirus.com
Updating from: ftp://ftp.us.ravantivirus.com
Updating from: http://ftp.us.ravantivirus.com
Updating from: ftp://ftp.ro.ravantivirus.com
Updating from: http://ftp.ro.ravantivirus.com
Update failed !
undefined
j'ai essayé + de 5 fois et j'ai attendu après le mess mais rien ne se passe

merci pour d'autres infos et a+

balltrap34 · Answer

rea tu fait le 1 er log que je t ai mis au n°35la chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

salut,si tu veut parler de l'installation de runfix ca a bien été fait.a+

balltrap34 · Answer

re si tu as fait run fix refait un hijack et met moi le rapportla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

ok voilà le rapport :

Logfile of HijackThis v1.98.2
Scan saved at 21:27:46, on 06/09/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXE
C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAM FILES\SAGEM\SAGEM F@ST800\DSLMON.EXE
C:\PROGRAM FILES\INCREDIMAIL\BIN\IMAPP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\UTILISATION COURANTE\FONCTIONNEMENT ORDI\ANTI VIRUS\HIJACK THIS\HIJACKTHIS ANTI VIRUS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - (no file)
O2 - BHO: (no name) - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Initialize8x8] C:\WINDOWS\pinnacle\PCTV\8x8_init.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE" /SU
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [McAfee Firewall] "C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE" /SERVICE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [GuardDogEXE] "C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE" /SERVICE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24ef8726a3a3baa31518/netzip/RdxIE601_fr.cab
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} -
O16 - DPF: {10000000-1000-0000-1000-000000000000} -
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

cassius · Answer

salut, j'ai tj ma page de demarrage qui est piratée : mk:@MSITStore:C:\spe\start.chm::/start.html# ce qui me connecte sur 1 site pornoqq peut-il m'aider a interpréter le hijack coolé plus haut?merci à+

Diams · Answer

Source KAPERSKYCette nouvelle variante de ' I-Worm.Bagle ' ressemble beaucoup à son prédécesseur au niveau fonctionnel. Le programme malicieux se propage via le courrier électronique en tant que pièce-jointe. Cette pièce-jointe est un fichier exécutable Windows de 11 Ko. L'objet du message est ' ID x: thanks ' et le corps, ' Yours ID x: Thank ' où x représente une succession aléatoire de caractères. Une fois que le fichier a été exécuté, le ver se copie dans le répertoire système de Windows et modifie la clé de la base de registre qui gère les lancements automatiques. Afin de désorienter l'utilisateur, le ver provoque le démarrage de l'utilitaire Windows standard Sound Recorder (sndrec32.exe). Par la suite, Bagle.b tente d'établir une connexion avec quelques sites distants qui sont liés d'une manière ou d'une autre au cheval de Troie proxy TrojanProxy.Win32.Mitglieder. A l'heure actuelle, toutes les sources réseau pour le téléchargement de Mitglieder ont été neutralisées et ' I-Worm.Bagle ' ne peut plus utiliser cette technologie pour accélérer le rythme de sa diffusion. Ceci étant dit, c'est la partie cheval de Troie du ver qui représente la plus grande menace pour l'ordinateur infecté. Elle ouvre en effet le port 8866 et surveille son activité. Les personnes mal intentionnées peuvent ainsi administrer l'ordinateur à distance. Ils peuvent notamment exécuter différentes commandes et télécharger des fichiers pour les consulter. A toi de mesurer la menaceSI je trouve un lien je le postehttp://www.kaspersky.com/fr/news.html?id=3504262Désactive ton AV et essaie leur AV en ligneA++Eric

Diams · Answer

Look le REMOVALhttp://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=39206Bonne chanceEric

Diams · Answer

Plus clair et de source Sophos Informations sur le virus Troj/Bagle-Y Récapitulatif Récapitulatif Description Désinfection Profil Nom Troj/Bagle-Y Type Cheval de Troie Alias I-Worm.Bagle.x W32/Bagle.y@MM Protection Protection disponible depuis le 29 avril 2004 14:21:59 (GMT) Inclus dans notre produit depuis Juin 2004 (3.82) Maintien à jour Si vous n'utilisez pas encore notre technologie de mise à jour automatique, essayez EM Library, une partie de la suite d'outils de gestion Enterprise Manager, qui permet sur un grand nombre de plates-formes l'installation et la mise à jour complètement automatisées de Sophos Anti-Virus par l'intermédiaire du web. Description Récapitulatif Description Désinfection Cette section vous aide à comprendre comment ce virus se comporte. Troj/Bagle-Y est un cheval de Troie de porte dérobée proxy. Il se copie dans le dossier système Windows et crée deux fichiers supplémentaires nommés iinj4.exe et system.exe. Pour s'exécuter automatiquement lorsqu'un utilisateur ouvre une session, le ver crée également dans le registre l'entrée suivante : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ssgrate.exe=%SYSTEM%\irun4.exe Les entrées suivantes sont également créées dans le registre : HKCU\Software\Timeout\uid = . HKCU\Software\Timeout\pid = HKCU\Software\Timeout\port = Les données peuvent être réacheminées vers d'autres ordinateurs via le proxy pour ignorer les restrictions d'accès et cacher l'adresse IP de l'ordinateur source. Le proxy peut être utilisé pour réacheminer un courriel SPAM. Troj/Bagle-Y tente de mettre fin aux applications de sécurité concernées. Lorsque le cheval de Troie s’exécute, il lance un relais SMTP sur le port TCP 25 et une porte dérobée sur un port aléatoire variant entre 2000 et 50000. Le cheval de Troie essaie d’envoyer des informations de connexion aux sites ci-dessous. www.lowenbrau.ru/manager_old/images/ngr2.php www.ctn.ru/marketing/images/ngr2.php alfinternational.ru/old/oli-lack_katalog/ngr2.php www.psnr.ru/rus/images/banners/ngr2.php www.gasterixx.de/gfx/ngr2.php www.deadlygames.de/DG/BF/BF-Links/clans/ngr2.php www.o-problemo.de/gaestebuch/ngr2.php www.tv87.de/subdomain_la/Fachwart/ngr2.php www.ranknet.de/LVS/pics/_notes/ngr2.php www.joerrens.de/system/include/crc.php www.bbszene.de/store/images/video_amazon/ngr2.php www.gebr-wachs.de/mod/san_beratung/thumb/ngr2.php www.lords-of-havoc.de/Avatare/ngr2.php comdat.de/kreta/ngr2.php www.eurostretch.ru/ngr2.php mir-auto.ru/ngr2.php artesproduction.com/ngr2.php www.hhc-online.de/home/links/pics/ngr2.php gaz-service.ru/img/pict/ngr2.php rdwufa.ru/img/pict/ngr5.php www.komandor.ru/sessions/ngr2.php www.mirage.ru/sport/omega/pic/omega/ngr2.php prizmapr.ru/test/images/ngr2.php avistrade.ru/prog/img/proizvod/ngr2.php service6.valuehost.ru/images/ngr2.php www.thomas-we.de/Design/ngr2.php partiyazerna.1gb.ru/menu/analitika/ngr2.php pvcps.ru/images/ngr2.php monomah-city.ru/vakans/ngr2.php mir-vesov.ru/p/lang/CVS/ngr2.php promco.ru/sovrem/panorama/ngr2.php www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/ngr2.php die-cliquee.de/inhalt/mitglieder/foto/ngr2.php Désinfection Récapitulatif Description Désinfection Cette section vous indique comment procéder à la désinfection de ce virus. Veuillez suivre les instructions de suppression des chevaux de Troie. Windows NT/2000/XP/2003 Dans Windows NT/2000/XP/2003, vous devez aussi modifier l’entrée du registre suivante. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l’avertissement concernant la modification du registre. Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L’éditeur de registre s’ouvre. Avant de modifier le registre, effectuez une sauvegarde. Dans le menu “Registre”, cliquez sur “Exporter un fichier du Registre”. Dans la zone “Etendue de l’exportation”, cliquez sur “Tout” puis enregistrez votre registre sous Backup. Recherchez l’entrée HKEY_LOCAL_MACHINE : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ ssgrate.exe=%SYSTEM%\irun4.exe et supprimez-la si elle existe. Fermez l’éditeur du registre. Pour trouver l'info j'utilise Copernic Agent Eric

balltrap34 · Answer

retu as spybotpasse le fait corriger les problemes ensuiteclick sur vaccinationenbas de la fenetre coche enable permanent blockinget met sur bloquer les mauvaise pages silencieusementla chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

salut,Diams, j'ai déjà scanné mon pc avec kapersky qui n'a rien trouvé, avant lui , virus scan ne détectait plus de trojan.Néanmoins j'ai tj la page de démarrage piratée...Quand la clé, du registre elle n'existe pas ( de tte manière comme ton post le disait, cela ne concernait pas Windows ME)Balltrap,est-ce que la manip vadétruire le trojan ou seulement le  bloquer?Maintenant je navigue via mozilla ff et même si la page est tj piratée dans le menu option internet, elle ne peut plus s'afficher.  Mais j'aimerais qd même éradiquer cette M...A bon entendeur!!!@+

balltrap34 · Answer

re si spy la dans sa base il vas le nettoyer et ensuite tu bloque la page et tu seras tranquilela chasse et le balltrap ma vrai passionvoir site perso dans profil

cassius · Answer

ok   merci

boom · Answer

helloj'ai eu le meme probleme et j'ai supprimé les lignes qui comportaient que des chiffres(sans le nom qui suit)O16 - DPF: {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - O16 - DPF: {10000000-1000-0000-1000-000000000000} -Ainsi que tous ceux làO13 - DefaultPrefix: O13 - WWW Prefix: O13 - Home Prefix: O13 - Mosaic Prefix: O13 - FTP Prefix: O13 - Gopher Prefix:Et egalement ceux laR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens essaye de les enlever par petits paquets.A priori moi j'ai plus cette m....

Trojan Proxy-Mitglieder

49 réponses

Votre réponse

Discussions similaires

Newsletters