Trojan-downloader.BAT.Ftp.ab

sebweb · Nouveau Inscrit le: 01 Fév 2006 Messages: 7

Bonjour,

je suis sous windows 2000 pro, et j'ai l'antivirus de wanadoo securitoo.
j'ai eu plusieurs fois un message de l'antivirus me signalant la présence d'un virus : Trojan-downloader.BAT.Ftp.ab. . Je n'ai pas eu l'impression que mon antivirus l'ai supprimé.

De plus, depuis je trouve ma connexion internet est au ralenti (déjà en bas débit. alors Bonjour la cata !!! Triste

)

Merci par avance pour votre aide

sebweb
a+ À la prochaine

Pow-wow

Vérifie la présence de ces fichiers sur ta machine:

C:\WINDOWS\system32\download.dat

C:\WINDOWS\system32\i

C:\WINDOWS\system32\o

C:\WINDOWS\system32\oo

Fais un scan Kaspersky et Panda, poste les rapports.

Lance un scan Hijackthis et poste le log.

Edit: avant de créer un nouveau topic, il serait bienvenu de répondre à celui-ci
_________________
Dieu créa le chat pour que l'homme ait un tigre à caresser

sebweb · Nouveau Inscrit le: 01 Fév 2006 Messages: 7

comme convenu j'ai suivi votre procédure dont voici les résulats :

1- Les fichiers suivants :

C:\WINDOWS\system32\download.dat
C:\WINDOWS\system32\i
C:\WINDOWS\system32\o
C:\WINDOWS\system32\oo

Ne sont pas présent dans mon micro j'ai fais une recherche général

2- analyse de Kaspersky

le rapport : http://cjoint.com/data/cinW5dHaym.htm

3- analyse de Panda

le rapport : http://cjoint.com/data/cinP0SnlWE.htm

4- analyse Hijackthis

le log : http://cjoint.com/data/cin2LmVG1m.htm

je reste dispo,pour tous renseignements complémentaires

merci Roulement des yeux

Pow-wow

Bonjour

Redémarre ta machine en mode sans echec et donne toi accès aux fichiers cachés

Lance HJT, coche et fixe les lignes suivantes:

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http//207.188.7.150/200f8132a0ec9e421d05/netzip/RdxIE601_fr.cab
O16 - DPF: {B5F016CF-23D9-40BC-B16A-2919C0886DD8} (NavolX Contrôle) - http//nsol.nordnet.fr/navol/navol.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS2\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Toujours en mode sans echec, recherche et supprime les fichiers en gras:

C:\WINNT\Help\HOSTS.0
C:\WINNT\unstall.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Outlook\archive.0st/Dossiers d'archivage/Éléments envoyés/22 Jul 2003 14:06 to steeve.steph:RE: hmm...html
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Outlook\archive.0st
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Outlook\Copie de Dossiers personnels (1).pst/Dossiers personnels/Boîte de réception/14 Mar 2003 08:06 from Sébastien MARCHAND:Demande de prix sur fi/demande placage.doc
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Outlook\Dossiers personnels (1).pst
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Outlook\Copie de Dossiers personnels (1).pst

Dans Outlook, vide le dossier "Éléments supprimés"

Reboot en mode normal et poste un nouveau log HJT, Panda et Kaspersky
_________________
Dieu créa le chat pour que l'homme ait un tigre à caresser

sebweb · Nouveau Inscrit le: 01 Fév 2006 Messages: 7

comme convenu j'ai suivi votre procédure dont voici les résulats :

1- Le fichier suivant : C:\WINNT\Help\HOSTS.0

n'est présent dans mon micro j'ai fais une recherche général.
les autres fichiers je les ai supprimé et vider le dossier "éléments supprimé" dans outlook

2- analyse de Kaspersky

le rapport : http://cjoint.com/data/cjn0vvpgXj.htm

3- analyse de Panda

le rapport : http://cjoint.com/data/cjnZKLnJQX.htm

4- analyse Hijackthis

le log : http://cjoint.com/data/cjn1huEFYF.htm

je reste dispo,pour tous renseignements complémentaires

merci

Pow-wow

Le log HJT est clean.

Pour Kaspersky, supprime C:\Documents and Settings\Administrateur\Local Settings\Application Data\Identities\{EDFF037A-F604-4D64-BC36-18B6A8E1C6FE}\Microsoft\Outlook Express\Éléments supprimés.dbx <-- ce dossier, ne t'inquiète pas, Outlook le recréera.

Vide la corbeille

Puis cela devrait être bon.

Poste un nouveau rapport Kaspersky pour voir.

À la prochaine

_________________
Dieu créa le chat pour que l'homme ait un tigre à caresser

sebweb · Nouveau Inscrit le: 01 Fév 2006 Messages: 7

bonjour

comme convenu le rapport de hijackthis :

http://cjoint.com/data/ckohQrFQaf.htm

encore merci pour votre aide Accord

bye

Pow-wow

Ton log est illisible, tu as uploadé le code source html.

Refais le comme tes uploads précédents

À la prochaine

_________________
Dieu créa le chat pour que l'homme ait un tigre à caresser

sevillana80226 · Posté le: 16 Oct 2006 12:21 Sujet du message:

Bonjour Pow Wow,
J'ai un problème de virus comme celui que tu as résolu. Pourrais tu stp venir à mon secours car je ne sais pas comment faire?
j'ai appliqué les conseils et voici les rapports:

Scan Kasperky
découvert : cheval de Troie Trojan-Downloader.BAT.Ftp.ab Le fichier: C:\WINDOWS\system32\i
découvert : application présentant un risque potentiel RootShell Le processus: C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\download.dat no
C:\WINDOWS\system32\i yes
C:\WINDOWS\system32\o no
C:\WINDOWS\system32\oo no

Comment faire pour coller le rapport hijackthis?

Merci beaucoup par avance pour ton aide.
Alexandra

	Index du Forum Informatruc -> Désinfection des virus & analyses de logs HijackThis	Toutes les heures sont au format GMT
Page 1 sur 1