]Win32:Onlinegames-BDN [Trj[ gros soucis, il ne part pas....

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)
Répondre

Messagepar Falkra » 04 Oct 2007 23:09

Ok, merci pour ces précisions.

Une grande partie du mal vient de ce fichier :
C:\WINDOWS\system32\avpo.exe

En premier, shoote via hijackthis la ligne suivante :
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe

(coche et fais "fix checked")

Juste après (sans redémarrage), recommence la procédure OtMoveIT avec juste ce fichier de mentionné :
C:\WINDOWS\system32\avpo.exe


Poste le rapport OtMoveIt après cela stp, et vérifie par un nouveau log HJT (ne le poste pas), si la ligne O4 est revenue, après redémarrage.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1
Haut

Messagepar Pacaya » 05 Oct 2007 15:57

Salut, bon une bonne chose c'est que j'ai supprimé la ligne avpo avec HJT par contre je n'ai pas trouvé le fichier avpo.exe dans le system32 avant, Antivir avait fait son boulot et me l'avait enlever ainsi que des .dll associées.

Maintenant, il reste toujours les fichiers que j'ai envoyés à Malekal:

C:\WINDOWS\system32\moveex.exe
C:\WINDOWS\system32\swsc.exe
C:\WINDOWS\system32\swreg.exe
C:\WINDOWS\system32\swxcacls.exe

Que faire avec eux ???

Yatil possibilité de voir s'ils ont été analisés par Malekal ??

De plus la manoeuvre pour rétablir l'accès au c:, je comprend pas bien, je dois faire comme on avait fait en éditant le texte http://a.vouillon.online.fr/ftp/Explore ... efault.reg
ou http://a.vouillon.online.fr/ftp/Open_ex ... efault.reg dans un fichier texte et le renommer en .bat et l'executer??

Merci de ta perséverance et j'espère que cela aura résolu le problème de base du tojan onlinegames qui faisait badtriper Avast :lol: ...
Pacaya
 
Messages: 14
Inscription: 03 Oct 2007 04:18
Haut

Messagepar Pacaya » 05 Oct 2007 16:02

Désolé j'ai peut-être manqué de précision...la ligne avpo sous Hijack n'est PAS réapparue après redémarrage...une bonne chose...

voila
Pacaya
 
Messages: 14
Inscription: 03 Oct 2007 04:18
Haut

Messagepar Falkra » 05 Oct 2007 21:42

Les fichiers reg que tu cites peuvent être téléchargés (clic droit, enregistrer la cible du lien sous) et il te suffit de double cliquer dessus pour les ajouter à la base de registre. Sans renommer.

Mieux, essaie ceci :

Télécharge Flashdisinfector de sUBs sur ton bureau.
  • Branche tes supports amovibles, démarre les (disques dur externes par exemple) pour ceux qui le devraient.
  • Double-clique sur Flash_Disinfector.exe.
  • Cela sera très rapide, un message t'informera de la fin du fix.
    Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prends soin de ne pas laisser de documents (word, excel) sur lesquels tu travailles ouvert à ce moment la.
  • Si tu as beaucoup de clés à désinfecter, tu peux renouveler l'opération en branchant les clés non traitées une à une.

Dis moi si ça rétablit le double clic du disque dur.

Les fichiers \avpo.exe et DLL doivent être dans C:\_OTMoveIT\Windows\system32\
peux-tu les uploader sur http://upload.malekal.com/ ?

Fais uploader aussi ces fichiers stp :
C:\WINDOWS\System32\2d811.dll -->02.10.2007 14:50:14
C:\WINDOWS\System32\2d811.sys -->02.10.2007 14:49:52
C:\WINDOWS\System32\3443.sys -->14.08.2007 11:30:25

Malekal_morte suis ce topic, et ces échantillons sont toujours utiles, il est bon de les collecter.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1
Haut

Messagepar Pacaya » 06 Oct 2007 00:31

Bon bon, la suite...

Premièrement, j'ai essayer toutes les techniques prescrites pour rétablir l'ouverture du disque c:, mais rien à faire en plus antivir et mon COMODO BOCLean s'affole, je désactive mais rien de rien...mais à part ca, il y a toujours le fichiers AUTORUN.INF dans C:\_OTMoveIt\MovedFiles, je l'ai scanné avec Antivir, rien de suspect...ptetre qu'on pourrait le restaurer?
J'ai pas essayer avec ma clé USB ni mon disque dur externe, je les ai pas sous la main et j'aimerai régler tout ca en premier...

Pour le avpo, je n'ai plus aucune trace, j'avais fais un scanne antivir comme que j'avais dit et depuis plus de trace, seule persistait une inscription avec HJT que l'on a enlevé auparavant....

J'ai posté les fichiers que tu m'as dit dans le message précédent....

PAr contre, (putain je l'aime bien ca... :-D ), antivir c'est affolé au moment ou je passais un scan complet de AVG antispyware, au moment ou AVG scanne les fichiers de systeme volume Information / restore blablabla ben antivir m'a capté une bonne douzaine de TR/Crypt.NSPM.GEN et TR/Agent.BCF, ils sont en quarantaine antivir pour l'instant, je sais pas si c'est les rejetons de ce avpo ? je pense que je devrais scanner complet, désactiver la restauration système puis définir un point de restauration (définir je sais pas trop comment, jamais fait )...en attendant je laisse les chose en état et j'attend une réponse pour les fichiers que tu m'as demandé d'envoyé dans le dernier post et ceux d'avant aussi...

Voila le post:
05.10.2007,10:05:10 [WARNING] Contains detection pattern of the SPR/Tool.PsKill.2 program!
C:\Documents and Settings\Propriétaire\Bureau\clean\pskill.exe
[INFO] No action will be taken on the file.
05.10.2007,10:25:00 [WARNING] Is the Trojan horse TR/Crypt.NSPM.Gen!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP3\A0000342.com
[INFO] The file will be moved to quarantine.
05.10.2007,10:26:06 [WARNING] Is the Trojan horse TR/Crypt.NSPM.Gen!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP3\A0000360.dll
[INFO] The file will be moved to quarantine.
05.10.2007,10:26:13 [WARNING] Is the Trojan horse TR/Crypt.NSPM.Gen!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP3\A0000363.com
[INFO] The file will be moved to quarantine.
05.10.2007,10:26:20 [WARNING] Is the Trojan horse TR/Crypt.NSPM.Gen!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP3\A0000388.exe
[INFO] The file will be moved to quarantine.
05.10.2007,10:26:22 [WARNING] Is the Trojan horse TR/Crypt.NSPM.Gen!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP3\A0000389.dll
[INFO] The file will be moved to quarantine.
05.10.2007,10:26:26 [WARNING] Is the Trojan horse TR/Crypt.NSPM.Gen!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP3\A0000431.dll
[INFO] The file will be moved to quarantine.
05.10.2007,10:26:29 [WARNING] Is the Trojan horse TR/Crypt.NSPM.Gen!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP3\A0000432.com
[INFO] The file will be moved to quarantine.
05.10.2007,10:26:45 [WARNING] Is the Trojan horse TR/Crypt.NSPM.Gen!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP4\A0000584.dll
[INFO] The file will be moved to quarantine.
05.10.2007,10:31:51 [WARNING] Is the Trojan horse TR/Agent.BCF!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP4\A0000585.ini
[INFO] The file will be moved to quarantine.
05.10.2007,10:32:51 [WARNING] Is the Trojan horse TR/Agent.BCF!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP4\A0000586.ini
[INFO] The file will be moved to quarantine.
05.10.2007,10:32:54 [WARNING] Is the Trojan horse TR/Crypt.NSPM.Gen!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP4\A0000587.exe
[INFO] The file will be moved to quarantine.
05.10.2007,10:32:57 [WARNING] Is the Trojan horse TR/Crypt.NSPM.Gen!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP4\A0000588.dll
[INFO] The file will be moved to quarantine.
05.10.2007,10:33:04 [WARNING] Contains detection pattern of the SPR/Tool.PsKill.2 program!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP4\A0000662.exe
[INFO] The file will be moved to quarantine.
05.10.2007,10:33:16 [WARNING] Contains detection pattern of the application APPL/NirCmd.1!
C:\System Volume Information\_restore{640BADDE-48BF-442D-9231-8F290EB45051}\RP4\A0000678.exe
[INFO] The file will be moved to quarantine.
05.10.2007,10:55:38 [WARNING] Contains detection pattern of the SPR/Tool.PsKill.2 program!
C:\Documents and Settings\Propriétaire\Bureau\clean\pskill.exe
[INFO] No action will be taken on the file.
05.10.2007,11:29:34 [WARNING] Contains detection pattern of the SPR/Tool.PsKill.2 program!
C:\Documents and Settings\Propriétaire\Bureau\clean\pskill.exe
[INFO] No action will be taken on the file.
05.10.2007,16:55:35 [WARNING] Contains detection pattern of the application APPL/NirCmd.2!
C:\Documents and Settings\Propriétaire\Local Settings\Temp\nircmd.exe
[INFO] No action will be taken on the file.
05.10.2007,16:55:35 [WARNING] Contains detection pattern of the application APPL/NirCmd.2!
C:\Documents and Settings\Propriétaire\Local Settings\Temp\nircmd.exe
[INFO] No action will be taken on the file.
05.10.2007,16:55:49 [WARNING] Contains detection pattern of the application APPL/NirCmd.2!
C:\Documents and Settings\Propriétaire\Local Settings\Temp\nircmd.exe
[INFO] No action will be taken on the file.
05.10.2007,16:55:53 [WARNING] Contains detection pattern of the application APPL/NirCmd.2!
C:\Documents and Settings\Propriétaire\Local Settings\Temp\nircmd.exe
05.10.2007,16:55:48 [WARNING] Contains detection pattern of the application APPL/NirCmd.2!
C:\Documents and Settings\Propriétaire\Local Settings\Temp\nircmd.exe
[INFO] No action will be taken on the file.
05.10.2007,16:55:56 [WARNING] Contains detection pattern of the application APPL/NirCmd.2!
C:\Documents and Settings\Propriétaire\Local Settings\Temp\nircmd.exe
[INFO] No action will be taken on the file.
05.10.2007,16:55:59 [WARNING] Contains detection pattern of the application APPL/NirCmd.2!
C:\Documents and Settings\Propriétaire\Local Settings\Temp\nircmd.exe
[INFO] No action will be taken on the file.
05.10.2007,16:56:03 [WARNING] Contains detection pattern of the application APPL/NirCmd.2!
C:\Documents and Settings\Propriétaire\Local Settings\Temp\nircmd.exe
[INFO] No action will be taken on the file.
05.10.2007,16:56:23 [WARNING] Contains detection pattern of the application APPL/NirCmd.2!
C:\Documents and Settings\Propriétaire\Local Settings\Temp\nircmd.exe
[INFO] No action will be taken on the file.
05.10.2007,16:56:27 [WARNING] Contains detection pattern of the application APPL/NirCmd.2!
C:\Documents and Settings\Propriétaire\Local Settings\Temp\nircmd.exe
[INFO] No action will be taken on the file.

C'est "marrant", je sais pas si c'est normal cette sorte d'interaction entre AVG et antivir, le premier n'a rien vu mais a alerté antivir-guard...presque romantique :-D ou pure coincidence...

Merci pour ta patience et j'espère ca aidera d'autre personne

voila

A plus
Pacaya
 
Messages: 14
Inscription: 03 Oct 2007 04:18
Haut

Messagepar Falkra » 06 Oct 2007 07:03

Il y a énormément de choses qui tournent sur ta machine, le risque est qu'ils se court-circuitent entre eux, et c'est sans doute ce qui se passe.

Il y avait au moins 2 (3?) résidents antispyware (AVG, super antispyware, boclean, même si un peu différent). Ca plus l'antivirus, ça fait beaucoup.

Pour tes points de restauration, tu peux les shooter en désactivant la restauration système :
http://www.libellules.ch/desactiver_restauration.php
Tu attends un peu qu'il efface tout (rapide), puis tu la réactives.

Pour créer un point de restauration manuellement, ça se passe ici (la manip, il faut demander à en créer un, le reste est commun au tuto) :
http://www.libellules.ch/restauration_systeme.php

A faire, c'est plus simple.

Après ça, pour qu'on reparte sur une base claire, tu as encore AVG je crois, donc un scan complet avec mise en quarantaine automatique serait bienvenu. Cela génère un rapport (encore...) il me le faudra.

Enfin, pour y voir plus clair dans ce qui a été viré, un scan en ligne kaspersky :

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
    http://webscanner.kaspersky.fr/
  • Clique sur Image
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.


AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Pour la base de registre, je te passerai des portions complètes à fusionner, à partir de la mienne, ou autre système.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1
Haut

Messagepar Pacaya » 07 Oct 2007 21:48

Désolé je n'ai pas eu accès à internet assez longtemps pour faire le scan avec Kaspersky mais j'espère pouvoir le faire ces prochains jours,
J'ai mis un peu d'ordre dans mes anti-spyware en enlevant certain pour alléger mon ordi et pour ne pas créer de conflit..
Par contre, je n'ai jamais eu AVG comme antivirus, seulement l'antispyware qui ne signale rien du tout...

Voila...

merci et à la prochaine
Pacaya
 
Messages: 14
Inscription: 03 Oct 2007 04:18
Haut
Précédente
Répondre
Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
Développé par phpBB® Forum Software © phpBB Group
Traduction par phpBB-fr.com
phpBB SEO