Trojan qui supprime les cookies :o

Trojan qui supprime les cookies :o - Sécurité - Windows & Software

Marsh Posté le 22-10-2006 à 13:04:11    

Salut, l'autre jour sur msn jvois ce message qui s'affiche :  

Citation :

[19:51:47] machin dit : Da uma olhada nas fotos dessa festa... muito legal..  
           http://vejatudo.t35.com/foto10zip

(j'ai viré le point avant le zip pour pas qu'on fasse la même erreur que moi)  
Réflexe à la con je clique dessus et je comprends que c'était un vieux trojan, résultat j'ai l'impression qu'il détruit mes cookies, genre jdois me connecter moi même à chaque fois sur hfr, l'angoisse quoi  :o  
Ou les liens sur lesquels j'ai déjà cliqué sur google n'apparaissent plus en violet.
Au secour  :(


Message édité par Kede le 22-10-2006 à 15:12:32
Reply

Marsh Posté le 22-10-2006 à 13:04:11   

Reply

Marsh Posté le 22-10-2006 à 21:49:32    

up car jsuis dans le caca quoi  :fou:

Reply

Marsh Posté le 22-10-2006 à 22:06:49    

Bonsoir kede,
 
Nous allons nous empresser de désinfecter ton système...
 
 
---> Télécharge HijackThis ici : http://download.hijackthis.eu/hijackthis_199.zip
---> Décompresse l'archive dans un dossier dédié
---> Renomme HijackThis.exe en Vundo.exe
---> Lance-le
---> Choisis l'option "Do A System Scan And Save A Log File"
---> Copie-colle le rapport sur ce forum
 
Tutoriel : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
 
Bien à toi,

Reply

Marsh Posté le 22-10-2006 à 22:12:29    

Salut, va sur www.kaspersky.fr et scanne, poste le rapport

Reply

Marsh Posté le 23-10-2006 à 15:29:28    

salut les gars et merci bcp  :jap:  :jap:  alors le scan hijackthis modifié en vundo.exe donne ceci :  

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 15:22:49, on 23/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\icpldrvx.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\hijackthis_199\Vundo.exe.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/md5auth.srf?lc=1036
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Avg Antivirus] C:\WINDOWS\system32\icpldrvx.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Reply

Marsh Posté le 23-10-2006 à 15:36:00    

C'est à n'y plus rien comprendre, encore aujourd'hui je rencontrais le problème mais à peine après avoir lancé hijackthis et scanné (j'ai pas réparé pourtant), que ça roule de nouveau : j'ai plus besoin de me connecter manuellement si je quitte hfr, c'est un miracle mes frères !  [:akt]
Edit : mince ça merdouille encore , je pige vraiment plus rien.
De plus y a une amélioration, hier c'était : je quitte la page, je la relance, j'étais plus connecté, maintenant ça tient quelques temps on dirait


Message édité par Kede le 23-10-2006 à 15:39:27
Reply

Marsh Posté le 23-10-2006 à 15:47:31    

Salut, fixe ceci :
 
 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1  
 
POste moi le rapport de kaspersky que je t'ai demandé plus haut et rajoutes y un scan avec Ewido en ligne :
 
http://www.ewido.net/en/onlinescan/
 
Poste les deux rapports

Reply

Marsh Posté le 23-10-2006 à 20:30:07    

Je pige pas pour kaspersky comment faire pour afficher un rapport complet , j'ai bien scanné et viré quelques trucs mais impossible d'avoir un fichier txt.
 
- pour ewido par contre :

Citation :

__________________________________________________
ewido anti-spyware online scanner
 http://www.ewido.net
__________________________________________________
 
 
Name: TrackingCookie.Atdmt
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[1].txt
Risk: Medium
 
Name: TrackingCookie.Bluestreak
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt
Risk: Medium
 
Name: TrackingCookie.Estat
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt
Risk: Medium
 
Name: Adware.SaveNow
Path: C:\Program Files\DAEMON Tools\SetupDTSB.exe
Risk: Medium
 
Name: Trojan.Agent.ay
Path: F:\_RESTORE\ARCHIVE\FS14.CAB/A0002671.CPY
Risk: High
 
Name: Adware.Banex
Path: F:\_RESTORE\ARCHIVE\FS19.CAB/A0004316.CPY
Risk: Medium
 
Name: Worm.VB.dz
Path: F:\Programmes\Utilitaires\gwave506.rar/gwave506.exe
Risk: High
 


j'ai ensuite tout supprimé  :jap:  :jap:

Reply

Marsh Posté le 24-10-2006 à 10:46:47    

Salut, que je sache tu n'es pas sous millenium ?  
 
Supprime tout le dossier : F:\_RESTORE\
 
Sauf si c'est toi qui a créé ce dossier pour tes sauvegardes, dans ce cas supprimer le fichier est surement suffisant ;)
 
Vire l'archive : F:\Programmes\Utilitaires\gwave506.rar
 
Refais un rapport avec Kaspersky, copie le texte de la page HTML ;)

Reply

Marsh Posté le 24-10-2006 à 17:22:59    

ah c'est bon, apparemment avec kaspersky et ewido qui ont clean je crois ne plus avoir de problèmes, merci pour l'aide vraiment  :jap:

Reply

Marsh Posté le 24-10-2006 à 17:22:59   

Reply

Marsh Posté le 27-10-2006 à 00:00:24    

De rien ;)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed