attaque virale

jicete

bonjour,

en ce moment j'ai pas mal d'attaque virale.

a chaque analyse je retrouve les mêmes virus ou trojan,il semble que bitdefender ne les elimine pas

a savoir

trojan.delf.zj

spy.bzub.ncv

agent.aoj

trojan.dowloadre.agent.ajr

exploit.win32.ms05-002.gen

qui pourrait m'en dire plus sur ceux-ci.

merci a+

Trouver d'autres publications étiquetées avec

Réponses

unknown

Bonjour,

Cela dépend beaucoup de 'où', les codes malveillants ont été trouvés.

Joignez le rapport d'analyse ...

Cdlt

jicete

C:\Documents and Settings\Jean-Charles\Local Settings\Temp\ijoawdst.sys Infecté avec: Trojan.Delf.ZJ

C:\Documents and Settings\Jean-Charles\Local Settings\Temp\vogwcxrs.dll Infecté avec: Trojan.Delf.ZJ

C:\Documents and Settings\Jean-Charles\Local Settings\Temporary Internet Files\Content.IE5\7ASJV1CL\riff_last[1].bin Infecté avec: Exploit.Win32.MS05-002.Gen

C:\Documents and Settings\Jean-Charles\Local Settings\Temporary Internet Files\Content.IE5\LPHFG8CY\win32[1].exe Infecté avec: Trojan.Downloader.Agent.AJR

C:\Documents and Settings\Jean-Charles\Local Settings\Temporary Internet Files\Content.IE5\NRYB61W0\win32[1].exe Infecté avec: Trojan.Downloader.Agent.AJR

C:\lo-110037672.exe Infecté avec: Trojan.Downloader.Agent.AJR

C:\WINDOWS\system32\ipv6mops.dll Infecté avec: Trojan.Spy.Bzub.NCU

C:\WINDOWS\system32\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ

C:\WINDOWS\system32\mbigtvgv.exe Infecté avec: Trojan.Spy.Bzub.EJ

C:\WINDOWS\Temp\ijoawdst.sys Infecté avec: Trojan.Delf.ZJ

C:\WINDOWS\Temp\vogwcxrs.dll Infecté avec: Trojan.Delf.ZJ

j'espere que ça ira.

Regis59

C:\Documents and Settings\Jean-Charles\Local Settings\Temp\ijoawdst.sys Infecté

C:\WINDOWS\system32\ipv6mops.dll Infecté avec: Trojan.Spy.Bzub.NCU

Salut

Si je peux me permettre.

Au vu de cette infection, fais une désinfection approfondie de ton PC.

http://www.malekal.com//Trojan.Zapchast.CA...-Spy.BZub.1.php

Cette infection peut générer des redirections lors des recherches Google.

L'infection comporte un keylogger afin d'enregistrer les frappes claviers pour récupérer vos mots de passes et numéro de carte bancaire

A+

jicete

bonjour,merci déjà pour l'aide.

apres les instructions precedentes,j'ai des recalcitrants

C:\lo-110037672.exe Infecté avec: Trojan.Downloader.Agent.AJR

C:\WINDOWS\system32\hgeahge.dll Infecté avec: Trojan.Agent.AVQ

C:\WINDOWS\system32\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ

C:\WINDOWS\system32\mbigtvgv.exe Infecté avec: Trojan.Spy.Bzub.EJ

c'est surtout le trojan.spy.bzub.ej qui m'inquiete,vous n'auriez pas un traitement de choc?

merci a+

unknown

Bonjour,

Vérifiez dans Ajout/Suppression de programme si rien ne fait référence à trojan/spyware.

Si oui, lancez simplement la désinstallation.

Si rien dans Ajout/Suppression,

S'il est présent dans le Gestionnaire des Taches, il faut l'arrêter puis supprimer le fichier dans windows/system32.

Faire une recherche dans la base de registre et supprimez les clés y faisant référence.

Cdlt

jicete

bonjour,

question bête mais pour arrêtrer le gestionnaire de tâche on fait comment? ,je suis nul de chez nul en informatique.

de plus comment je vais les reconnaitre ces sales bêtes ,ce sera marqué trojan/spywrare? :rolleyes:

ou c'est le fichier dll infecté qu'il faut sup?

dans ajout sup de programme,j'ai rien reconnu de suspect.

jicete

voici ce que j'ai,j'espere que ce sera lisible

http://img513.imageshack.us/img513/696/tachesyn3.jpg

jicete

rebonjour,

C:\lo-110037672.exe Infecté avec: Trojan.Downloader.Agent.AJR

C:\WINDOWS\system32\hgeahge.dll Infecté avec: Trojan.Agent.AVQ

C:\WINDOWS\system32\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ

C:\WINDOWS\system32\mbigtvgv.exe Infecté avec: Trojan.Spy.Bzub.EJ

de plus j'ai cherché des renseignements sur les fichiers infectés:nada!!

qui pourrait me dire a quoi ils servent.(j'ai window xp)

merci.

unknown

Bonjour;

Pouvez-vous créer une archive protégé par mot de passe contenant les 4 fichiers concernés et les postés ?

Vous devrez désactiver BitDefender pour pouvoir créer cette archive ....

Cdlt

jicete

:rolleyes: euh!on fait ça comment?

unknown

Si vous utilisez des logiciels comme Winzip ou winrar, vous avez la possibilité de créer un fichier compressé protégé par mot de passe. Il s'agit d'une option à activer dans l'assistant de création de l'archive.

Désactivez BitDefender, créez votre archive et ajoutez y les 4 fichiers concernés.

Enregistrez l'archive, réactivez BitDefender et postez le fichier.

Cdlt

jicete

bonjour,

je vous envoie les fichiers infectés

merci

/applications/core/interface/file/attachment.php?id=19745" data-fileExt='zip' data-fileid='19745'>system32.rar.zip

system32.rar.zip

unknown

Bonjour

Pouvez-vous également reposter l'intégralité du rapport d'analyse indiquant en particulier les actions que l'antivirus doit effectuer ?

Cdlt

jicete

bonjour,

Statistiques

Chemin cible: C:\

Dossiers : 2831

Fichiers : 90508

Archives : 994

Fichiers empaquetés : 13565

Virus trouvés : 4

Fichiers infectés : 4

Alertes : 0

Fichiers suspects : 0

Fichiers désinfectés : 0

Fichiers effacés : 0

Fichiers copiés : 0

Fichiers déplacés : 0

Fichiers renommés : 0

Erreurs I/O : 8

Temps d'analyse := 00:14:48

Fichiers/seconde :101

Définitions virus : 506924

Plugins d'analyse : 14

Plugins archives : 38

Plug-ins décompression : 6

Plug-ins messagerie : 6

Plug-ins système : 1

Options d'analyse

Détection

[X] Analyser le secteur de boot

[X] Analyser les archives

[X] Analyser les fichiers en paquets

[X] Analyser la messagerie

Masque fichiers

[X] Programmes

[ ] Tous les fichiers

[ ] Extensions définies par l'utilisateur:

[ ] Exclure les extensions: ;

Action

Objets infectés

[X] Ignorer

[ ] Désinfecter

[ ] Effacer

[ ] Copier

[ ] Déplacer dans le dossier infectés

[ ] Renommer

[ ] Demander l'action

Seconde action

[X] Ignorer

[ ] Effacer

[ ] Copier

[ ] Déplacer dans le dossier infectés

[ ] Renommer

[ ] Demander l'action

Options d'analyse

[ ] Activer les alertes

[X] Activer l'heuristique

[X] Afficher tous les fichiers dans le journal

[X] Fichier journal : C:\Program Files\Softwin\BitDefender9\Logs\vscan_1179473774.log

Sommaire :

C:\lo-110037672.exe Infecté avec: Trojan.Downloader.Agent.AJR

C:\WINDOWS\system32\hgeahge.dll Infecté avec: Trojan.Agent.AVQ

C:\WINDOWS\system32\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ

C:\WINDOWS\system32\mbigtvgv.exe Infecté avec: Trojan.Spy.Bzub.EJ

ce que je ne comprend pas c'est que dans action "ignorer" est coché.

alors que la configuration de l'antivirus(que je n'ai jamais modifié depuis l'installation)dit de desincfecter en 1ere action ou de bloquer en 2eme!!

Regis59

Salut,

Je me demande comment tu vas procéder à la désinfection.

Tu vas attendre une MAJ de Bitdefender?

A+

jicete

bonjour,

justement je ne sais pas quoi faire,c'est d'aiileurs pour cela que je cherche de l'aide sur ce forum.

si vous avez une solution je suis preneur.

j'ai envoyé les fichiers infectés et donné le détails de l'analyse,n'y connaissant rien ,j'attends des instructions.

Danielle

Dans les sections "Action" et "Second action" du rapport d'analyse tu as comme option "Ignorer". Démarre une nouvelle analyse avec BitDefender mais avant de faire ça vérifie la configuration de l'analyse. Tu dois avoir "Désinfection" pour la première action et "Déplacer dans la quarantaine" pour la second action.

Antivirus > l'onglet Analyse et clique sur Configuration. Si tout est bien, sélectionne "Disques locaux" et clique sur le bouton "Analyse".

jicete

ok,je regarderai encore une fois.

mais je suis sur que dans

analyse/configuration/options d'analyse/defaut: j'ai bien"Désinfection" pour la première action et "Déplacer dans la quarantaine" pour la second action.

merci a+

Data

Salut,

Pour supprimer ces codes démarres Windows en mode sans echec (F8 au démarrage) afin d'effacer manuellement à partir du poste de travail les fichiers :

C:\lo-110037672.exe

C:\WINDOWS\system32\hgeahge.dll

C:\WINDOWS\system32\jrqahsiw.dll

C:\WINDOWS\system32\mbigtvgv.exe

Ceci fait redémarres Windows en mode normal pour lancer une analyse, si quelque chose est trouvé donne nous le résultat du rapport en copier-coller.

jicete

re,

dois je en conclure que ces fichiers sont inutiles a la bonne marche de mon micro?

Data

Oui, il ne semble pas ici que cela soit une d'infection mais des fichiers déposés.

Il est même probable que ceux ci ne soient même pas actifs, de rares codes malveillants rendent le système dépendant de leurs fichiers infectés afin de nuire à l'utilisateur, dans le cas des trojans c'est rare je pense que le risque est plus que minime.

jicete

ok,je vous tiens au courant des evenements.

merci a+

Regis59

Salut

Il est possible de vérifier quelque chose?

télécharge HijackThis ici:

http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dézippe le dans un dossier prévu à cet effet.

Par exemple C:\hijackthis < Enregistre le bien dans c : !

Démo : (Merci a Balltrap34 pour cette réalisation)

http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:

clique sur "do a system scan and save logfile" (cf démo)

faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)

http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+

jicete

re,

du nouveau.

j'ai verifié la config de l'analyse,je le precise je n'ai rien modifié,mais j'ai l'impression que d'avoir cliqué sur "defaut" a debloqué quelquechose????

dernier rapport apres maj de bitdefender.

C:\lo-110037672.exe Infecté avec: Trojan.Downloader.Agent.AJR

C:\lo-110037672.exe Désinfection impossible

C:\lo-110037672.exe Déplacé

C:\WINDOWS\system32\hgeahge.dll Infecté avec: Trojan.Agent.AVQ

C:\WINDOWS\system32\hgeahge.dll Désinfection impossible

C:\WINDOWS\system32\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ

C:\WINDOWS\system32\jrqahsiw.dll Désinfection impossible

C:\WINDOWS\system32\jrqahsiw.dll Déplacé

C:\WINDOWS\system32\mbigtvgv.exe Infecté avec: Trojan.Spy.Bzub.EJ

C:\WINDOWS\system32\mbigtvgv.exe Désinfection impossible

C:\WINDOWS\system32\mbigtvgv.exe Déplacé

a part pour le trojan.avq qu'il n'a pas deplacé,il a fait son boulot pour le reste.

est-il possible de mettre en quarantaine manuellement?

a bientot.

jicete

tout content j'ai refais une autre analyse derriere mais voila il y a des choses que je ne comprend pas!!

C:\Program Files\Softwin\BitDefender9\Quarantine\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ

C:\Program Files\Softwin\BitDefender9\Quarantine\jrqahsiw.dll Désinfection impossible

C:\Program Files\Softwin\BitDefender9\Quarantine\jrqahsiw.dll Déplacé

C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>mbigtvgv.exe Infecté avec: Trojan.Spy.Bzub.EJ

C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>mbigtvgv.exe Désinfection impossible

C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>mbigtvgv.exe Déplacement impossible

C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>hgeahge.dll Infecté avec: Trojan.Agent.AVQ

C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>hgeahge.dll Désinfection impossible

C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>hgeahge.dll Déplacement impossible

C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ

C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>jrqahsiw.dll Désinfection impossible

C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>jrqahsiw.dll Déplacement impossible

C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>lo-110037672.exe Infecté avec: Trojan.Downloader.Agent.AJR

C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>lo-110037672.exe Désinfection impossible

C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>lo-110037672.exe Déplacement impossible

C:\WINDOWS\system32\hgeahge.dll Infecté avec: Trojan.Agent.AVQ

C:\WINDOWS\system32\hgeahge.dll Désinfection impossible

C:\WINDOWS\system32\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ

C:\WINDOWS\system32\jrqahsiw.dll Désinfection impossible

le trojan aoj semble être revenu <img class= " />

Regis59

Tu peux me faire un rapport HijackThis?

A+

jicete

bonjour,

je fais ça ce week-end

Data

Salut jicete,

En plus de la bonne indication de Regis59 pour le post de ton log Hijackthis je te conseille aussi de faire une analyse contre les rootkits avec l'outil au lien ci-dessous :

http://download.bitdefender.com/windows/de...otkit-BETA2.exe

unknown

Bonjour

Une autre solution est également l'installation de la version 10 qui peut être enregistrée avec le code de la version 9 tant que le contrat de mises à jour est en cours.

Cette version contient par défaut le scan antirootkit en version finale.

A télécharger sur http://www.bitdefender.fr

Cdlt

jicete

ok,

merci a+

Regis59

Ok d accord.

T'inquietes pas, on va te désinfecter

A+

jicete

bonjour,

voila,je suis passé en version "plus v10"

apres analyse j'ai toujours les mêmes recalcitrants:

C:\WINDOWS\system32\hgeahge.dll Infecté: Trojan.Agent.AVQ

C:\WINDOWS\system32\hgeahge.dll Désinfection impossible

C:\WINDOWS\system32\hgeahge.dll Déplacement impossible

C:\WINDOWS\system32\hgeahge.dll.bak Infecté: Trojan.Agent.AVQ

C:\WINDOWS\system32\hgeahge.dll.bak Désinfection impossible

C:\WINDOWS\system32\hgeahge.dll.bak Déplacement impossible

j'aimerais comprendre,l'alerte virus me dit que ce trojan infecte ce fichier dll,et que malgre cela bitdefender le bloc et que mon ordinateur n'est pas infecté(ce qui serait plutot rasurant!!)

bref,j'ai essayé de destroyer le fichier:hgeahge.dll,en mode sans echec,mais "verbotten"je ne peux pas.

j'ai egalement fait une analyse antirootkit(niveau moyen,par defaut),rien a l'horizon.

pour le rapport HijackThis,je n'ai pas eu encore le temps,mais ça va venir.

en analyse approfondie j'ai eu egalement ceci.(j'arrive pas trop a decoder )

<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Détecté: Trojan.Agent.AVQ

<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Désinfection impossible

<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Déplacement impossible

<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Détecté: Trojan.Agent.AVQ

<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Désinfection impossible

<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Déplacement impossible

<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Détecté: Trojan.Agent.AVQ

<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Désinfection impossible

<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Déplacement impossible

voila,voila

unknown

Bonjour,

Voila une procédure :

1. Dé-enregistre la .dll avec la commande suivante:

regsvr32 /u "C:\WINDOWS\system32\hgeahge.dll"

2. Supprimez les clés de registres:

HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL

HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL

HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL

3. Redémarrez en mode sans échec pour supprimez les fichiers.

Cdlt

jicete

bonjour,

ok,je ferai cela!!

jicete

bonjour,

je ne vous avais pas oublié,mais je n'ai pas eu trop le temps de me remettre au clavier.

donc,avant de prendre les dernieres mesures preconisées,j'ai refais une analyse approfondie du systeme.

etrange!bitdefender ne trouve plus rien.

les fichiers anciennement incriminés sont toujours presents,mais ne sont plus déclarés comme verolés

peut-être une maj de bitdefender a t-elle reglé ces problemes?

quoiqu'il en soit pour l'instant tout est ok

j'en profite donc pour remercier tout ceux qui sont venu a mon aide.

je trouve que ce forum est une tres bonne chose et j'espere que se sera en simple visiteur que je me connecterai desormais.

merci encore.