attaque virale

bonjour,


en ce moment j'ai pas mal d'attaque virale.


a chaque analyse je retrouve les mêmes virus ou trojan,il semble que bitdefender ne les elimine pas


a savoir


trojan.delf.zj


spy.bzub.ncv


agent.aoj


trojan.dowloadre.agent.ajr


exploit.win32.ms05-002.gen


qui pourrait m'en dire plus sur ceux-ci.


merci a+

Réponses

  • Bonjour,


    Cela dépend beaucoup de 'où', les codes malveillants ont été trouvés.


    Joignez le rapport d'analyse ...


    Cdlt

  • C:\Documents and Settings\Jean-Charles\Local Settings\Temp\ijoawdst.sys Infecté avec: Trojan.Delf.ZJ


    C:\Documents and Settings\Jean-Charles\Local Settings\Temp\vogwcxrs.dll Infecté avec: Trojan.Delf.ZJ


    C:\Documents and Settings\Jean-Charles\Local Settings\Temporary Internet Files\Content.IE5\7ASJV1CL\riff_last[1].bin Infecté avec: Exploit.Win32.MS05-002.Gen


    C:\Documents and Settings\Jean-Charles\Local Settings\Temporary Internet Files\Content.IE5\LPHFG8CY\win32[1].exe Infecté avec: Trojan.Downloader.Agent.AJR


    C:\Documents and Settings\Jean-Charles\Local Settings\Temporary Internet Files\Content.IE5\NRYB61W0\win32[1].exe Infecté avec: Trojan.Downloader.Agent.AJR


    C:\lo-110037672.exe Infecté avec: Trojan.Downloader.Agent.AJR


    C:\WINDOWS\system32\ipv6mops.dll Infecté avec: Trojan.Spy.Bzub.NCU


    C:\WINDOWS\system32\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ


    C:\WINDOWS\system32\mbigtvgv.exe Infecté avec: Trojan.Spy.Bzub.EJ


    C:\WINDOWS\Temp\ijoawdst.sys Infecté avec: Trojan.Delf.ZJ


    C:\WINDOWS\Temp\vogwcxrs.dll Infecté avec: Trojan.Delf.ZJ


    j'espere que ça ira.


    a+

  • C:\Documents and Settings\Jean-Charles\Local Settings\Temp\ijoawdst.sys Infecté


    C:\WINDOWS\system32\ipv6mops.dll Infecté avec: Trojan.Spy.Bzub.NCU


    Salut


    Si je peux me permettre.


    Au vu de cette infection, fais une désinfection approfondie de ton PC.


    http://www.malekal.com//Trojan.Zapchast.CA...-Spy.BZub.1.php


    Cette infection peut générer des redirections lors des recherches Google.


    L'infection comporte un keylogger afin d'enregistrer les frappes claviers pour récupérer vos mots de passes et numéro de carte bancaire


    A+

  • bonjour,merci déjà pour l'aide.


    apres les instructions precedentes,j'ai des recalcitrants


    C:\lo-110037672.exe Infecté avec: Trojan.Downloader.Agent.AJR


    C:\WINDOWS\system32\hgeahge.dll Infecté avec: Trojan.Agent.AVQ


    C:\WINDOWS\system32\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ


    C:\WINDOWS\system32\mbigtvgv.exe Infecté avec: Trojan.Spy.Bzub.EJ


    c'est surtout le trojan.spy.bzub.ej qui m'inquiete,vous n'auriez pas un traitement de choc?


    merci a+

  • Bonjour,


    Vérifiez dans Ajout/Suppression de programme si rien ne fait référence à trojan/spyware.


    Si oui, lancez simplement la désinstallation.


    Si rien dans Ajout/Suppression,


    S'il est présent dans le Gestionnaire des Taches, il faut l'arrêter puis supprimer le fichier dans windows/system32.


    Faire une recherche dans la base de registre et supprimez les clés y faisant référence.


    Cdlt

  • jicete
    Modifié (mai 2007)

    bonjour,


    question bête mais pour arrêtrer le gestionnaire de tâche on fait comment? :( ,je suis nul de chez nul en informatique.


    de plus comment je vais les reconnaitre ces sales bêtes ,ce sera marqué trojan/spywrare? :rolleyes:


    ou c'est le fichier dll infecté qu'il faut sup?


    dans ajout sup de programme,j'ai rien reconnu de suspect.


    a+

  • jicete
    Modifié (mai 2007)

    tachesyn3.jpg


    voici ce que j'ai,j'espere que ce sera lisible


    a+


    http://img513.imageshack.us/img513/696/tachesyn3.jpg

  • jicete
    Modifié (mai 2007)

    rebonjour,


    C:\lo-110037672.exe Infecté avec: Trojan.Downloader.Agent.AJR


    C:\WINDOWS\system32\hgeahge.dll Infecté avec: Trojan.Agent.AVQ


    C:\WINDOWS\system32\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ


    C:\WINDOWS\system32\mbigtvgv.exe Infecté avec: Trojan.Spy.Bzub.EJ


    de plus j'ai cherché des renseignements sur les fichiers infectés:nada!!


    qui pourrait me dire a quoi ils servent.(j'ai window xp)


    merci.

  • Bonjour;


    Pouvez-vous créer une archive protégé par mot de passe contenant les 4 fichiers concernés et les postés ?


    Vous devrez désactiver BitDefender pour pouvoir créer cette archive ....


    Cdlt

  • :rolleyes: euh!on fait ça comment?


    a+

  • Si vous utilisez des logiciels comme Winzip ou winrar, vous avez la possibilité de créer un fichier compressé protégé par mot de passe. Il s'agit d'une option à activer dans l'assistant de création de l'archive.


    Désactivez BitDefender, créez votre archive et ajoutez y les 4 fichiers concernés.


    Enregistrez l'archive, réactivez BitDefender et postez le fichier.


    Cdlt

  • Bonjour


    Pouvez-vous également reposter l'intégralité du rapport d'analyse indiquant en particulier les actions que l'antivirus doit effectuer ?


    Cdlt

  • bonjour,


    Statistiques


    Chemin cible: C:\


    Dossiers : 2831


    Fichiers : 90508


    Archives : 994


    Fichiers empaquetés : 13565


    Virus trouvés : 4


    Fichiers infectés : 4


    Alertes : 0


    Fichiers suspects : 0


    Fichiers désinfectés : 0


    Fichiers effacés : 0


    Fichiers copiés : 0


    Fichiers déplacés : 0


    Fichiers renommés : 0


    Erreurs I/O : 8


    Temps d'analyse := 00:14:48


    Fichiers/seconde :101


    Définitions virus : 506924


    Plugins d'analyse : 14


    Plugins archives : 38


    Plug-ins décompression : 6


    Plug-ins messagerie : 6


    Plug-ins système : 1


    Options d'analyse


    Détection


    [X] Analyser le secteur de boot


    [X] Analyser les archives


    [X] Analyser les fichiers en paquets


    [X] Analyser la messagerie


    Masque fichiers


    [X] Programmes


    [ ] Tous les fichiers


    [ ] Extensions définies par l'utilisateur:


    [ ] Exclure les extensions: ;


    Action


    Objets infectés


    [X] Ignorer


    [ ] Désinfecter


    [ ] Effacer


    [ ] Copier


    [ ] Déplacer dans le dossier infectés


    [ ] Renommer


    [ ] Demander l'action


    Seconde action


    [X] Ignorer


    [ ] Effacer


    [ ] Copier


    [ ] Déplacer dans le dossier infectés


    [ ] Renommer


    [ ] Demander l'action


    Options d'analyse


    [ ] Activer les alertes


    [X] Activer l'heuristique


    [X] Afficher tous les fichiers dans le journal


    [X] Fichier journal : C:\Program Files\Softwin\BitDefender9\Logs\vscan_1179473774.log


    Sommaire :


    C:\lo-110037672.exe Infecté avec: Trojan.Downloader.Agent.AJR


    C:\WINDOWS\system32\hgeahge.dll Infecté avec: Trojan.Agent.AVQ


    C:\WINDOWS\system32\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ


    C:\WINDOWS\system32\mbigtvgv.exe Infecté avec: Trojan.Spy.Bzub.EJ


    ce que je ne comprend pas c'est que dans action "ignorer" est coché.


    alors que la configuration de l'antivirus(que je n'ai jamais modifié depuis l'installation)dit de desincfecter en 1ere action ou de bloquer en 2eme!! :(


    a+

  • Salut,


    Je me demande comment tu vas procéder à la désinfection.


    Tu vas attendre une MAJ de Bitdefender?


    A+

  • bonjour,


    justement je ne sais pas quoi faire,c'est d'aiileurs pour cela que je cherche de l'aide sur ce forum.


    si vous avez une solution je suis preneur.


    j'ai envoyé les fichiers infectés et donné le détails de l'analyse,n'y connaissant rien ,j'attends des instructions.


    a+

  • Dans les sections "Action" et "Second action" du rapport d'analyse tu as comme option "Ignorer". Démarre une nouvelle analyse avec BitDefender mais avant de faire ça vérifie la configuration de l'analyse. Tu dois avoir "Désinfection" pour la première action et "Déplacer dans la quarantaine" pour la second action.


    Antivirus > l'onglet Analyse et clique sur Configuration. Si tout est bien, sélectionne "Disques locaux" et clique sur le bouton "Analyse".

  • ok,je regarderai encore une fois.


    mais je suis sur que dans


    analyse/configuration/options d'analyse/defaut: j'ai bien"Désinfection" pour la première action et "Déplacer dans la quarantaine" pour la second action.


    merci a+

  • Salut,


    Pour supprimer ces codes démarres Windows en mode sans echec (F8 au démarrage) afin d'effacer manuellement à partir du poste de travail les fichiers :


    C:\lo-110037672.exe


    C:\WINDOWS\system32\hgeahge.dll


    C:\WINDOWS\system32\jrqahsiw.dll


    C:\WINDOWS\system32\mbigtvgv.exe


    Ceci fait redémarres Windows en mode normal pour lancer une analyse, si quelque chose est trouvé donne nous le résultat du rapport en copier-coller.

  • re,


    dois je en conclure que ces fichiers sont inutiles a la bonne marche de mon micro?


    a+

  • Oui, il ne semble pas ici que cela soit une d'infection mais des fichiers déposés.


    Il est même probable que ceux ci ne soient même pas actifs, de rares codes malveillants rendent le système dépendant de leurs fichiers infectés afin de nuire à l'utilisateur, dans le cas des trojans c'est rare je pense que le risque est plus que minime.

  • ok,je vous tiens au courant des evenements.


    merci a+

  • Salut


    Il est possible de vérifier quelque chose?


    télécharge HijackThis ici:


    http://telechargement.zebulon.fr/138-hijackthis-1991.html


    Dézippe le dans un dossier prévu à cet effet.


    Par exemple C:\hijackthis < Enregistre le bien dans c : !


    Démo : (Merci a Balltrap34 pour cette réalisation)


    http://pageperso.aol.fr/balltrap34/Hijenr.gif


    Lance le puis:


    clique sur "do a system scan and save logfile" (cf démo)


    faire un copier coller du log entier sur le forum


    Démo : (Merci a Balltrap34 pour cette réalisation)


    http://pageperso.aol.fr/balltrap34/demohijack.htm


    Bon courage


    A+

  • re,


    du nouveau.


    j'ai verifié la config de l'analyse,je le precise je n'ai rien modifié,mais j'ai l'impression que d'avoir cliqué sur "defaut" a debloqué quelquechose????


    dernier rapport apres maj de bitdefender.


    C:\lo-110037672.exe Infecté avec: Trojan.Downloader.Agent.AJR


    C:\lo-110037672.exe Désinfection impossible


    C:\lo-110037672.exe Déplacé


    C:\WINDOWS\system32\hgeahge.dll Infecté avec: Trojan.Agent.AVQ


    C:\WINDOWS\system32\hgeahge.dll Désinfection impossible


    C:\WINDOWS\system32\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ


    C:\WINDOWS\system32\jrqahsiw.dll Désinfection impossible


    C:\WINDOWS\system32\jrqahsiw.dll Déplacé


    C:\WINDOWS\system32\mbigtvgv.exe Infecté avec: Trojan.Spy.Bzub.EJ


    C:\WINDOWS\system32\mbigtvgv.exe Désinfection impossible


    C:\WINDOWS\system32\mbigtvgv.exe Déplacé


    a part pour le trojan.avq qu'il n'a pas deplacé,il a fait son boulot pour le reste.


    est-il possible de mettre en quarantaine manuellement?


    a bientot.

  • tout content j'ai refais une autre analyse derriere mais voila il y a des choses que je ne comprend pas!!


    C:\Program Files\Softwin\BitDefender9\Quarantine\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ


    C:\Program Files\Softwin\BitDefender9\Quarantine\jrqahsiw.dll Désinfection impossible


    C:\Program Files\Softwin\BitDefender9\Quarantine\jrqahsiw.dll Déplacé


    C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>mbigtvgv.exe Infecté avec: Trojan.Spy.Bzub.EJ


    C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>mbigtvgv.exe Désinfection impossible


    C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>mbigtvgv.exe Déplacement impossible


    C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>hgeahge.dll Infecté avec: Trojan.Agent.AVQ


    C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>hgeahge.dll Désinfection impossible


    C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>hgeahge.dll Déplacement impossible


    C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ


    C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>jrqahsiw.dll Désinfection impossible


    C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>jrqahsiw.dll Déplacement impossible


    C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>lo-110037672.exe Infecté avec: Trojan.Downloader.Agent.AJR


    C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>lo-110037672.exe Désinfection impossible


    C:\RECYCLER\S-1-5-21-1202660629-1580818891-725345543-1003\Dc1.rar=>lo-110037672.exe Déplacement impossible


    C:\WINDOWS\system32\hgeahge.dll Infecté avec: Trojan.Agent.AVQ


    C:\WINDOWS\system32\hgeahge.dll Désinfection impossible


    C:\WINDOWS\system32\jrqahsiw.dll Infecté avec: Trojan.Agent.AOJ


    C:\WINDOWS\system32\jrqahsiw.dll Désinfection impossible


    le trojan aoj semble être revenu <img class=" />

  • Tu peux me faire un rapport HijackThis?


    A+

  • bonjour,


    je fais ça ce week-end


    a+

  • Salut jicete,


    En plus de la bonne indication de Regis59 pour le post de ton log Hijackthis je te conseille aussi de faire une analyse contre les rootkits avec l'outil au lien ci-dessous :


    http://download.bitdefender.com/windows/de...otkit-BETA2.exe

  • Bonjour


    Une autre solution est également l'installation de la version 10 qui peut être enregistrée avec le code de la version 9 tant que le contrat de mises à jour est en cours.


    Cette version contient par défaut le scan antirootkit en version finale.


    A télécharger sur http://www.bitdefender.fr


    Cdlt

  • ok,


    merci a+

  • Ok d accord.


    T'inquietes pas, on va te désinfecter :)


    A+

  • jicete
    Modifié (mai 2007)

    bonjour,


    voila,je suis passé en version "plus v10"


    apres analyse j'ai toujours les mêmes recalcitrants:


    C:\WINDOWS\system32\hgeahge.dll Infecté: Trojan.Agent.AVQ


    C:\WINDOWS\system32\hgeahge.dll Désinfection impossible


    C:\WINDOWS\system32\hgeahge.dll Déplacement impossible


    C:\WINDOWS\system32\hgeahge.dll.bak Infecté: Trojan.Agent.AVQ


    C:\WINDOWS\system32\hgeahge.dll.bak Désinfection impossible


    C:\WINDOWS\system32\hgeahge.dll.bak Déplacement impossible


    j'aimerais comprendre,l'alerte virus me dit que ce trojan infecte ce fichier dll,et que malgre cela bitdefender le bloc et que mon ordinateur n'est pas infecté(ce qui serait plutot rasurant!!)


    bref,j'ai essayé de destroyer le fichier:hgeahge.dll,en mode sans echec,mais "verbotten"je ne peux pas.


    j'ai egalement fait une analyse antirootkit(niveau moyen,par defaut),rien a l'horizon.


    pour le rapport HijackThis,je n'ai pas eu encore le temps,mais ça va venir.


    en analyse approfondie j'ai eu egalement ceci.(j'arrive pas trop a decoder :( )


    <System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Détecté: Trojan.Agent.AVQ


    <System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Désinfection impossible


    <System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Déplacement impossible


    <System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Détecté: Trojan.Agent.AVQ


    <System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Désinfection impossible


    <System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Déplacement impossible


    <System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Détecté: Trojan.Agent.AVQ


    <System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Désinfection impossible


    <System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL Déplacement impossible


    voila,voila


    a+

  • Bonjour,


    Voila une procédure :


    1. Dé-enregistre la .dll avec la commande suivante:


    regsvr32 /u "C:\WINDOWS\system32\hgeahge.dll"


    2. Supprimez les clés de registres:


    HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL


    HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL


    HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\UTLGQLTP\PARAMETERS\ServiceDll=>C:\WINDOWS\SYSTEM32\HGEAHGE.DLL


    3. Redémarrez en mode sans échec pour supprimez les fichiers.


    Cdlt

  • bonjour,


    ok,je ferai cela!! :)


    a+

  • jicete
    Modifié (juin 2007)

    bonjour,


    je ne vous avais pas oublié,mais je n'ai pas eu trop le temps de me remettre au clavier.


    donc,avant de prendre les dernieres mesures preconisées,j'ai refais une analyse approfondie du systeme.


    etrange!bitdefender ne trouve plus rien.


    les fichiers anciennement incriminés sont toujours presents,mais ne sont plus déclarés comme verolés


    peut-être une maj de bitdefender a t-elle reglé ces problemes?


    quoiqu'il en soit pour l'instant tout est ok :P


    j'en profite donc pour remercier tout ceux qui sont venu a mon aide.


    je trouve que ce forum est une tres bonne chose et j'espere que se sera en simple visiteur que je me connecterai desormais.


    merci encore.