| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
Squall
Nouveau
Inscrit le: 11 Déc 2006
Messages: 8
|
 Posté le: 11 Déc 2006 17:33 Sujet du message: SpySheriff ... |
|
|
Bonsoir,
Par une inattention je me suis choppé ce ptit logiciel.
J'ai effectué les manips et voici les rapports et les logs.
Rapport 1 de Smit : http://cjoint.com/?mlsB1R5DmC
Rapport 2 de Smit : http://cjoint.com/?mlsCXtZgLZ
Rapport AVG : http://cjoint.com/?mlsDRvJfum
Rapport HijackThis : http://cjoint.com/?mlsExrC05N
Le rapport 1 a été fait en mode sans échec car impossible de demarrer en normale!
Config : AMD 3200+ 1Go de ram un dd de 160go et 2 de 80.
En attendant de vous lire pour fixer tous mes ptits problèmes. J'utilise avast au quotidien avec nod 32. |
|
| Revenir en haut |
|
 |
Angeldark
Equipe de désinfection
Inscrit le: 04 Nov 2006
Messages: 2185
|
| Posté le: 11 Déc 2006 18:00 Sujet du message: |
|
|
Bonjour et bienvenue,
Reçois-tu des popups ?
Des redirections ?
As-tu accès à Internet ? |
|
| Revenir en haut |
|
|
Squall
Nouveau
Inscrit le: 11 Déc 2006
Messages: 8
|
| Posté le: 11 Déc 2006 19:01 Sujet du message: |
|
|
Non pas de popups, j'utilise Firefox avec ad block plus. Pas de redirections et oui j'ai accés au net en session normale.
Mais le pc est tres lent en ce moment, le processus explorer utilises tout mon processeur.
Par contre, j'ai remarqué que j'avais proxy.small qui restait et assez récurrent !
C'est avec AVG.
Dernière édition par Squall le 11 Déc 2006 19:18; édité 1 fois |
|
| Revenir en haut |
|
|
Angeldark
Equipe de désinfection
Inscrit le: 04 Nov 2006
Messages: 2185
|
| Posté le: 11 Déc 2006 19:14 Sujet du message: |
|
|
Re,
Merci pour les précisions.
| Citation: | - Assure toi d'avoir accès aux dossiers/fichiers cachés
-> Démarrer
-> Panneau de configuration
-> Options des Dossiers, onglet Affichage :
. Clique sur Afficher les dossiers cachés
. Décoche Masquer les extensions des fichiers dont le type est connu
. Décoche Masquer les fichiers protégés du système d'exploitation |
Va sur le site de VirusTotal
Clique sur Parcourir... puis ouvre:
C:\WINDOWS\system32\nordsys.exe
C:\WINDOWS\system32\zxdufs.dll
Clique ensuite sur Send
Poste le rapport en fin d'analyse.
Si tu vois ce message:
" Your file " ***.*** " is queued in position: ***. Estimated start time is between *** and *** minutes. "
Il te faudra patienter. |
|
| Revenir en haut |
|
|
Squall
Nouveau
Inscrit le: 11 Déc 2006
Messages: 8
|
| Posté le: 11 Déc 2006 19:50 Sujet du message: |
|
|
Voici le rapport pour la dll :
| Citation: | Complete scanning result of "zxdufs.dll", received in VirusTotal at 12.11.2006, 20:45:21 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.49 12.11.2006 TR/Agent.baf.2
Authentium 4.93.8 12.08.2006 no virus found
Avast 4.7.892.0 12.11.2006 no virus found
AVG 386 12.11.2006 no virus found
BitDefender 7.2 12.11.2006 DeepScan:Generic.Malware.SMw.8C960820
CAT-QuickHeal 8.00 12.11.2006 no virus found
ClamAV devel-20060426 12.11.2006 no virus found
DrWeb 4.33 12.11.2006 Trojan.Spambot
eSafe 7.0.14.0 12.11.2006 no virus found
eTrust-InoculateIT 23.73.81 12.09.2006 no virus found
eTrust-Vet 30.3.3244 12.11.2006 no virus found
Ewido 4.0 12.11.2006 no virus found
Fortinet 2.82.0.0 12.11.2006 suspicious
F-Prot 3.16f 12.11.2006 no virus found
F-Prot4 4.2.1.29 12.11.2006 no virus found
Ikarus T3.1.0.26 12.11.2006 Trojan.Win32.Agent.PK
Kaspersky 4.0.2.24 12.11.2006 no virus found
McAfee 4916 12.11.2006 Spam-DComServ
Microsoft 1.1804 12.11.2006 no virus found
NOD32v2 1914 12.11.2006 a variant of Win32/Agent.NEJ
Norman 5.80.02 12.11.2006 W32/Agent.ATMO
Panda 9.0.0.4 12.11.2006 no virus found
Prevx1 V2 12.11.2006 Polynomial.Code.Exploit
Sophos 4.12.0 12.10.2006 Troj/SpamTh-Gen
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.131 12.10.2006 no virus found
UNA 1.83 12.11.2006 no virus found
VBA32 3.11.1 12.10.2006 no virus found
VirusBuster 4.3.15:9 12.11.2006 Trojan.DCOMServ.Gen!Pac
Aditional Information
File size: 161280 bytes
MD5: a80cdd6514ae96d18fe1de0cef514f7a
SHA1: 2a4eedad53a91fa17eb108ca4003530669a6fde9
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=21a561905602 |
Par contre l'exécutable est introuvable je crois que nod32 est passé par là ! |
|
| Revenir en haut |
|
|
Squall
Nouveau
Inscrit le: 11 Déc 2006
Messages: 8
|
| Posté le: 11 Déc 2006 19:53 Sujet du message: |
|
|
| Citation: | | Le fichier C:\qomdjjy.exe est infecté par cheval de Troie Win32/TrojanDownloader.Small.NQQ. Ce fichier peut être supprimé. Assurez-vous d'avoir sauvegardé vos données avant le nettoyage. L'objet a été mis en Quarantaine. Nettoyage impossible. |
Je viens de relancer une analyse avec nod32. |
|
| Revenir en haut |
|
|
Angeldark
Equipe de désinfection
Inscrit le: 04 Nov 2006
Messages: 2185
|
| Posté le: 11 Déc 2006 20:08 Sujet du message: |
|
|
Re,
Télécharge KillBox d'Option^Explicit.
Dézippe le dans un dossier ou sur ton bureau (Clique droit puis Extraire Tout).
Selectionne le texte dans le cadre :
| Citation: | C:\WINDOWS\system32\rpcc.dll
C:\WINDOWS\system32\zxdufs.dll |
---> Clique Droit puis Copier.
----------
-- Ouvre Killbox.exe
-- Choisis "Delete on reboot"
-- Clique sur :
- " File " -> " Paste from Clipboard "
- " All Files "
- " Unregister .dll Before Deleting "
Pour terminer clique sur [:angeldark:3].
Une question te sera alors posée :
" File will be Removed on Reboot, Do you want to reboot now ? "
-- Répond par OUI, un compte à rebour s'enclenche, ton PC va redémarrer.
-- Après redémarrage, relance Killbox puis clique sur le menu : Files -> Logs -> Actions History Log, poste ce rapport ici.
NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!"
Redémarre ton PC manuellement.
AIDE : Tuto sur KillBox (Jesses) |
|
| Revenir en haut |
|
|
Squall
Nouveau
Inscrit le: 11 Déc 2006
Messages: 8
|
| Posté le: 11 Déc 2006 21:22 Sujet du message: |
|
|
| Citation: | Pocket Killbox version 2.0.0.648
Running on Windows XP as Squall(Administrator)
was started @ lundi, décembre 11, 2006, 10:07 PM
# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\rpcc.dll
# 2 [Delete on Reboot]
Path = C:\WINDOWS\system32\zxdufs.dll
I Rebooted @ 10:17:49 PM
Killbox Closed(Exit) @ 10:18:22 PM
__________________________________________________
Pocket Killbox version 2.0.0.648
Running on Windows XP as Squall(Administrator)
was started @ lundi, décembre 11, 2006, 10:21 PM |
ça a l'air d'etre bon. je vais relancé qd meme une analyse d'avg et de nod. |
|
| Revenir en haut |
|
|
Angeldark
Equipe de désinfection
Inscrit le: 04 Nov 2006
Messages: 2185
|
| Posté le: 11 Déc 2006 21:34 Sujet du message: |
|
|
| Reposte un rapport Hijackthis, je verrai ça demain. |
|
| Revenir en haut |
|
|
Squall
Nouveau
Inscrit le: 11 Déc 2006
Messages: 8
|
| Posté le: 12 Déc 2006 5:42 Sujet du message: |
|
|
http://cjoint.com/?mmgOWmLbV5
Rapport Hijackthis.
Par contre j'ai encore pas mal de cheval de troie ! Et il sont voraces ! |
|
| Revenir en haut |
|
|
Angeldark
Equipe de désinfection
Inscrit le: 04 Nov 2006
Messages: 2185
|
| Posté le: 12 Déc 2006 11:27 Sujet du message: |
|
|
Re,
- Lance Hijackthis ->Do a system scan only
->Coche les lignes ci-dessous :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\WINDOWS\inet20000\1210221859.dll (file missing)
O4 - HKCU\..\Run: [Nord] C:\WINDOWS\system32\nordsys.exe
O9 - Extra button: Ãâ·Ñ¾«²ÊÊÓƵ³¬Á÷³©ÔÚÏß¹Û¿´ - {022C4009-5283-4365-97BF-144054B40E2E} - http//itv.mop.com (file missing)
O9 - Extra 'Tools' menuitem: ²¥°ÔµçÊÓ - {022C4009-5283-4365-97BF-144054B40E2E} - http//itv.mop.com (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O21 - SSODL: DCOM Server 2234 - {2C1CD3D7-86AC-4068-93BC-A02304BB2234} - C:\WINDOWS\system32\zxdufs.dll (file missing)
O21 - SSODL: dfkUatKk - {14B54F23-BE1F-E589-C0DB-30B653F0AA63} - C:\WINDOWS\system32\ofsy.dll (file missing)
Clique sur Fix checked (en bas à gauche)
Fais un scan en ligne Kaspersky. |
|
| Revenir en haut |
|
|
Squall
Nouveau
Inscrit le: 11 Déc 2006
Messages: 8
|
|
| Revenir en haut |
|
|
Angeldark
Equipe de désinfection
Inscrit le: 04 Nov 2006
Messages: 2185
|
| Posté le: 12 Déc 2006 18:05 Sujet du message: |
|
|
Re,
Une image de CD infectée va être supprimée.
Télécharge KillBox d'Option^Explicit.
Dézippe le dans un dossier ou sur ton bureau (Clique droit puis Extraire Tout).
Selectionne le texte dans le cadre :
| Citation: | C:\Documents and Settings\Squall\Local Settings\Application Data\qfyqakn.dll
S:\-= ISO =-\Docs TICE Stage Kwartz.nrg |
---> Clique Droit puis Copier.
----------
-- Ouvre Killbox.exe
-- Choisis "Delete on reboot"
-- Clique sur :
- " File " -> " Paste from Clipboard "
- " All Files "
Pour terminer clique sur [:angeldark:3].
Une question te sera alors posée :
" File will be Removed on Reboot, Do you want to reboot now ? "
-- Répond par OUI, un compte à rebour s'enclenche, ton PC va redémarrer.
-- Après redémarrage, relance Killbox puis clique sur le menu : Files -> Logs -> Actions History Log, poste ce rapport ici.
NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!"
Redémarre ton PC manuellement.
AIDE : Tuto sur KillBox (Jesses)
Tu connais pop3.b-eyes.org ?
Télécharge Hoster
http://www.funkytoad.com/download/hoster.zip
Dézippes sur le bureau.
Lance Hoster et clique sur "Restore Microsoft's Hosts File" |
|
| Revenir en haut |
|
|
Squall
Nouveau
Inscrit le: 11 Déc 2006
Messages: 8
|
| Posté le: 12 Déc 2006 18:24 Sujet du message: |
|
|
Pour l'image, c'est pas grave.
Pour le pop3, oui, mais il n'existe plus donc ça peut etre supprimé.
voici le rapport :
| Citation: |
Pocket Killbox version 2.0.0.648
Running on Windows XP as Squall(Administrator)
was started @ mardi, décembre 12, 2006, 7:24 PM
# 1 [Delete on Reboot]
Path = C:\Documents and Settings\Squall\Local Settings\Application Data\qfyqakn.dll
I Rebooted @ 7:26:48 PM
Killbox Closed(Exit) @ 7:27:10 PM
__________________________________________________
Pocket Killbox version 2.0.0.648
Running on Windows XP as Squall(Administrator)
was started @ mardi, décembre 12, 2006, 7:31 PM
# 1 [Delete on Reboot]
Path = S:\-= ISO =-\Docs TICE Stage Kwartz.nrg
I Rebooted @ 7:34:42 PM
Killbox Closed(Exit) @ 7:35:06 PM
__________________________________________________
Pocket Killbox version 2.0.0.648
Running on Windows XP as Squall(Administrator)
was started @ mardi, décembre 12, 2006, 7:37 PM |
J'ai du recommencer pour l'image. Oublier de configurer l'action sous killbox. |
|
| Revenir en haut |
|
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
