Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Infections par Worm.KoobFace / RootKit.Agent / malware.Trace

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

tesla
newbie
newbie
Messages : 5
Inscription : 26 févr. 2010 10:49

Infections par Worm.KoobFace / RootKit.Agent / malware.Trace

Message par tesla »

Bonjour,

Antivir m'a signalé hier soir des alertes de trojan sur des fichiers systèmes (une dizaine).
J'ai d'abord coché l'option "refuser l'acces" mais que faire maintenant ?
Le truc c'est que je trouve presque TROP d'informations sur les outils de desinfection.
Faut il utiliser ComboFix ? GMER ? un autre ?

J'ai fait un scan rapide du système avec Malwarebytes et et Hijackthis.
Voici les rapports. Qui peut me conseiller ?
Je suis sous Win XP. IE est installé sur mon poste mais je ne m'en sers pas. J'utilise Firefox.

Malwarebytes' Anti-Malware 1.44
---------------------------------------
Version de la base de données: 3795
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

26/02/2010 08:53:52
mbam-log-2010-02-26 (08-53-47).txt

Type de recherche: Examen rapide
Eléments examinés: 128659
Temps écoulé: 8 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Philippe\Menu Démarrer\Programmes\Démarrage\winesm32.exe (Worm.KoobFace) -> No action taken.
C:\WINDOWS\system32\drivers\krlnvjks.sys (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\Philippe\Application Data\avdrn.dat (Malware.Trace) -> No action taken.

Hijackthis.
-------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:52:53, on 26/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Java\jre1.5.0_15\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Java\jre1.5.0_15\bin\jucheck.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Documents and Settings\Philippe\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_15\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_15\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" boot "C:\Documents and Settings\Philippe\Local Settings\Application Data\NVIDIA Corporation\nTune\Profiles\wow_core675_615.nsu"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: winesm32.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SetPointII.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_15\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_15\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDow ... ab_nvd.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDow ... rtScan.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe

--
End of file - 7664 bytes

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30497
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise
Contact :

Re: Infections par Worm.KoobFace / RootKit.Agent / malware.Trace

Message par angelique »

• coche et clic Fixchecked ces lignes ci dessous avec HijackThis:

O4 - Startup: winesm32.exe

• 1• telecharger avenger et l'enregistrer sur ton bureau

http://swandog46.geekstogo.com/avenger2/avenger.zip

Image

Image


2• extrait , dezippe le fichier , ça depend de ton extracteur de fichier zip , generalement clic droit , extraire ici

Image

3• double clic alors sur l'epée avenger accepte par ok au message kernel truc qui s'affiche et clic droit copier l'integralité du cadre ci dessous
Drivers to delete:
krlnvjks
Files to delete:
C:\Documents and Settings\Philippe\Menu Démarrer\Programmes\Démarrage\winesm32.exe
C:\WINDOWS\system32\drivers\krlnvjks.sys
C:\Documents and Settings\Philippe\Application Data\avdrn.dat

puis Dans le cadre , sous input script here: ,clic droit coller et clic execute

Image


*Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt << copie_colle le contenu dans ta prochaine reponse
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici : C:\avenger\backup.zip.

et refait un nouveau scan MBAM et poste le rapport
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

tesla
newbie
newbie
Messages : 5
Inscription : 26 févr. 2010 10:49

Re: Infections par Worm.KoobFace / RootKit.Agent / malware.Trace

Message par tesla »

Bonjour,

Merci d'abord pour votre réponse.
J'ai installé avenger et procédé aux manips.

Voici le rapport de Malwarebytes. Ca semble clean mais ce n'est qu'un rapport rapide.
Un truc m'inquietes un peu : lors des alertes Antivir j'avais coché l'option "refusé l'acces" sur les fichiers concernés.
Donc que faut il faire sur ces fichiers ? Est ce normal que Malwarebytes ne les voit pas ?
Faut il les restaurer ? (comment ?) car je suppose que si ils sont bloqués par Antivir ca va manquer au système à un moment ou à un autre non ?

Code : Tout sélectionner

Evénements exportés :

26/02/2010 01:04 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\nwlnkflt.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:37 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\mspqm.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:36 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\mspclock.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:36 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\mskssrv.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:36 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\Modem.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:32 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\lbrtfdc.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:32 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\irenum.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:32 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\ipinip.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:32 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\ipfltdrv.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:32 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\ip6fw.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:32 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\i2omgmt.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:32 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\drmkaud.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:32 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\dmusic.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:32 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\Changer.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:32 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\Cdaudio.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:32 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\atmarpc.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:31 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\asyncmac.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:30 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\drivers\aec.sys'
      un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:29 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\Temp\~TM7A.tmp'
      un virus ou un programme indésirable 'TR/Dldr.Genome.akcw' [trojan] a été 
      détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:29 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\Temp\~TM7A.tmp'
      un virus ou un programme indésirable 'TR/Dldr.Genome.akcw' [trojan] a été 
      détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:29 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\fjhdyfhsn.bat'
      un virus ou un programme indésirable 'BAT/Agent.148' [virus] a été détecté.
      Action exécutée : Refuser l'accès

26/02/2010 00:29 [Guard] Logiciel malveillant détecté
      Dans le fichier 'C:\WINDOWS\system32\fjhdyfhsn.bat'
      un virus ou un programme indésirable 'BAT/Agent.148' [virus] a été détecté.
      Action exécutée : Refuser l'accès

Code : Tout sélectionner

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3795
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

26/02/2010 16:07:24
mbam-log-2010-02-26 (16-07-24).txt

Type de recherche: Examen rapide
Eléments examinés: 128731
Temps écoulé: 6 minute(s), 14 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30497
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise
Contact :

Re: Infections par Worm.KoobFace / RootKit.Agent / malware.Trace

Message par angelique »

C:\avenger.txt << copie_colle le contenu dans ta prochaine reponse
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

tesla
newbie
newbie
Messages : 5
Inscription : 26 févr. 2010 10:49

Re: Infections par Worm.KoobFace / RootKit.Agent / malware.Trace

Message par tesla »

Voici le contenu du fichier avenger.txt


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "krlnvjks" deleted successfully.
File "C:\Documents and Settings\Philippe\Menu Démarrer\Programmes\Démarrage\winesm32.exe" deleted successfully.
File "C:\WINDOWS\system32\drivers\krlnvjks.sys" deleted successfully.
File "C:\Documents and Settings\Philippe\Application Data\avdrn.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30497
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise
Contact :

Re: Infections par Worm.KoobFace / RootKit.Agent / malware.Trace

Message par angelique »

ok j'vais un doute sur le nom du Driver vu que je l'ai fait à l'aveuglette lol , normalement c'est ok

• tu peux supp. C:\avenger.txt & C:\avenger

• prend connaissance de la configuration d'antivir : https://www.malekal.com/fichiers/antivir ... ivirV9.avi


• ta merde s'attrape sur des sites légitimes hacked avec Frame Javascript pourrie lol


 Finir le nettoyage :
- Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!):

telecharge sur ton bureau:

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

ATF Cleaner
Double-clique(clic droit executer en tant qu'administrateur avec vista) ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok
Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
Patiente le temp du nettoyage
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.
Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé.
La case prefetch est grisée sous Vista

• Téléchargez TFC par OldTimer sur votre Bureau:
http://oldtimer.geekstogo.com/TFC.exe

* Faites un double clic (clic droit executer en tant qu'administrateur avec vista) sur TFC.exe pour le lancer.
* L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours avant de commencer.
* Cliquez sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laissez le programme s'exécuter sans l'interrompre.
* Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système.

• naviguer avec FireFox+NoScript http://www.mozilla-europe.org/fr/firefox/ | https://addons.mozilla.org/fr/firefox/addon/722 | tuto: https://www.malekal.com/securiser_Firefox.php ou bien un firewall logiciel qui active\desactive le JS|code mobile à la demande-configuration, JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA ... index.html


exemple Virut [ virut-virtob-vitro-infection-fichiers-e ... t5177.html ] avec Frame piégée:

Image


• Lire sécuriser FireFox:: https://www.malekal.com/securiser_Firefox.php

- Désactive puis réactive la restauration du système :
- Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/IN ... 0101856924
-mode d'emploi Vista : http://www.commentcamarche.net/faq/1321 ... e-de-vista

Sauvegarde de la ruche systeme

Pratique en cas de ce type d'erreur au demarrage (http://www.vista-xp.fr/forum/topic183.html ) et rapide à restaurer en console de recuperation: https://www.malekal.com/console_recupera ... ocId862261
https://www.malekal.com/tutorial_ERUNT.p ... ocId955164

• telecharge ERUNT (ERDNT):
http://www.derfisch.de/lars/erunt.zip
http://www.aumha.org/downloads/erunt.zip
http://dundats.mvps.org/Files/erunt.zip

et dezippe le ,renomme le dossier par ERDNT, coupe_colle le dossier dezippé à cet endroit et pas ailleurs: c:\windows\ , puis double clic(clic droit executer en tant qu'administrateur avec vista) sur ERUNT comme sur la capture:

Image
http://imagesup.org/images/1240900435-erdnt1.jpg

* clic ok et dans la fenetre qui apparait comme sur la capture , spécifie le chemin c:\windows\ERDNT en "backup to", pas ailleurs!, un nouveau dossier doit alors être demandé à etre crée dans c:\windows\ERDNT , clic ok.

Image
http://imagesup.org/images/1240900561-erdnt2.jpg

Video d'explication :: https://www.malekal.com/fichiers/ERUNT/erunt.avi

*la sauvegarde de la ruche systeme s'opère alors , un dossier de sauvegarde en date de création apparrait dans c:\windows\ERDNT\ << verifier !

Image
http://imagesup.org/images/1240900791-erdnt3.jpg

*Compacter le registre si tu le souhaites en double cliquant(clic droit executer en tant qu'administrateur avec vista) sur NTREGOPT , le fichier en forme de cube bleu , le compactage s'opere , ne toucher rien jusqu'à l'invitation de redemarrer le pc
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

tesla
newbie
newbie
Messages : 5
Inscription : 26 févr. 2010 10:49

Re: Infections par Worm.KoobFace / RootKit.Agent / malware.Trace

Message par tesla »

Ok, je vais appliquer toutes ces consignes mais...ca ne semble pas fini.

Antivir vient d'emettre une alerte dans un fichier de restauration.
Comme si le trojan s'etait déplacé. Pourtant je n'ai procédé à aucune restauration.

Code : Tout sélectionner

Dans le fichier 'C:\System Volume Information\_restore{96285BFE-2197-4AED-89B9-A4265C68D6F0}\RP643\A0088293.sys'
un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès
Antivir a aussi signalé la presence du trojan dans le fichier que Avenger avait déplacé.
Du coup je l'ai mis en quarantaine.

Malware ne semble pas avoir detecté la nouvelle alerte, ni même le fait que le 1er fichier ait été mis en quarantaine.
Mais ce n'est qu'un scan court.

Code : Tout sélectionner

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3795
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

26/02/2010 18:49:55
mbam-log-2010-02-26 (18-49-55).txt

Type de recherche: Examen rapide
Eléments examinés: 137677
Temps écoulé: 9 minute(s), 48 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30497
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise
Contact :

Re: Infections par Worm.KoobFace / RootKit.Agent / malware.Trace

Message par angelique »

c'est rien , tu fais finir nettoyage et t'auras plus d'alerte d'antivir sur ton infection lol et tu vides la quarantine d'antivir
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

tesla
newbie
newbie
Messages : 5
Inscription : 26 févr. 2010 10:49

Re: Infections par Worm.KoobFace / RootKit.Agent / malware.Trace

Message par tesla »

Ok merci pour tout en tout cas.
Vraiment très sympa...je suis dans l'info aussi mais sur des problemes de perfs de serveurs J2EE...connais pas trop les virus et trojan

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30497
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise
Contact :

Re: Infections par Worm.KoobFace / RootKit.Agent / malware.Trace

Message par angelique »

tes connaissances sont les bienvenues dans ton domaine chez malekal \o_...chacun fait sa sauçe lol
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »