x

Cheval de troie ??? [urgent]

 
30/10/2011 16:12 #1
Bonjour,
J'utilise AVIRA comme logiciel de protection. Il me détecte plusieurs anomalies placées en quarantaine mais cela n'y fait rien car les anomalies reviennent systématiquement et la situation empire depuis hier.
Un fichier hki9989.exe apparait dans C\Windows\Temp. Il contient le cheval de troie TR/Agent 176128 apparu 5 fois le 29/10 et le 30/10, TR/Atraps.Gen2 apparu le 30/10, TR/CryptXPack.Gen apparu le 29/10 après avoir eu une mise en quarantaine de "Modèle de détection Backdoor(dangereux) BOS/Kelihos.B.135" mis en quarantaine le 15/10.

De plus j'ai débranché le disque ext USB de 1To qui grattait violemment, débranché la liaison internet et stoppé l'ordi dont l'UC fonctionnait à 100% en permanence (plus d'action possible). J'ai du stopper l'ordi par un maintien sur le bouton marche car il ne s'arrêtait pas et restait dans une configuration de veille écran éteint (ce qui n'a jamais été son statut habituel).
Les anomalies enregistrées par le système sont:
- NLA s'est arrêté, procédure introuvable,
- Cde At 34 (ou36,14,38,40,30,..) n'a pas pu démarrer, fichier introuvable

J'ai nettoyé les dossiers Temp sauf "Perflib_Perfdata_55C" que je ne peux supprimer sous C\Windows\ temp mais je crois que c'est un fichier Windows.

J'ai fait une restauration au 13/10 pour retrouver l'ordi dans une configuration antérieure à la première quarantaine. Pas de changement du comportement de l'ordi. Mise à jour de windows dans cette config, pas de changement, l'ordi ne s'est pas arrêté après mise à jour.

Je cherche toujours et si je pouvais avoir une petite aide ce serait un peu d'oxygène !!!

Cordialement

Harfang
HA
anonyme
Groupe :
Visiteur
Annonces
Publicité
anonyme
30/10/2011 16:38 #2
Pour commencer, installes malwarebyte et fais un scan antimalware avec ce dernier. Si ce n'est pas possible en mode normal, fais-le en mode sans échecs.


De plus j'ai débranché le disque ext USB de 1To qui grattait violemment

Cela sent le disque dur dont les clusters sont deffectueux, ce qui peut dans certains cas bloquer l'UC à 100%. A ne pas brancher durant la procédure de nettoyage.

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
16233
30/10/2011 17:21 #3
Harfang

Merci pour ta réponse,
Je vais faire la manipe. Le disque est débranché et j'ai les Pb sur l'ordi. Je crois ne pas être le seul dans ce cas car depuis ce matin j'ai déjà 3 ou 4 correspondants qui ont des pbs similaires. La première agression date du 15/10 (peut-être en sommeil jusqu'à aujourd'hui!!) et c'était un "backdoor". Je demande à AVIRA pourquoi ce programme de virus n'a pas été bloqué puisqu'il a été détecté!!!
Je vais installer "malwarebyte" car je ne l'ai pas sur l'ordi !!
Peut-on utiliser l'ordi pendant ce temps ? C'est celui de mon épouse et elle travail dessus !!!

Merci

Harfang
HA
anonyme
Groupe :
Visiteur
30/10/2011 17:27 #4
Non, le plus sage est de ne pas "surcharger" le système durant le scan. Et si cela "mouline" de trop fais le en mode sans echecs F8 au démarrage.

Tu dis que plusieurs personnes ont les mêmes symptômes, Avira comme antivirus?

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
16233
30/10/2011 23:14 #5
Bonsoir,

Je ne connais pas les logiciels anti-virus utilisés par les autres personnes (qui sont à l'étranger), je vais essayé de savoir.
Voici le résultat de Malwarebytes qui n'a pas trouvé de virus, par contre il a sans cesse bloqué des tentatives d’accès type sortant à des sites potentiellement malveillants dont les ID seraient 206.161.121.3/206.161.121.115/146.185.250.137/89.187.53.204/83.133.124.196/83.133.119.154/83.133.124.195

Après le scan rapide je n'ai pas pu ouvrir les fichiers rapports ni faire aucune action sur l'ordi, ni même l'arrêter à partir de "Démarrer". Le sablier apparaissait, puis le px arrêter, mais après avoir cliqué sur l’icône, le sablier disparaissait et rien ne se passait. J'ai fait un reset, ré-ouvert Malwarebytes et recommencé le scan et j'ai obtenu l'ouverture automatique du rapport en fin de scan que voici:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8047

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/10/2011 22:11:07
mbam-log-2011-10-30 (22-11-07).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 164481
Temps écoulé: 8 minute(s), 2 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Pendant que j'écris ce texte (sur mon ordi) l'autre ordi BIP avec blocage de logiciel avec Malwarebytes et détection de virus par AVIRA (C\System Volume information\restore(DF76ADE4-6AC8-4053-980988F2A53981OF)\RP819\A0136970.com virus ou programme indésirable "TR/Dldr.Unry.H.14) ce qui pourrait également correspondre à un Pb constaté de la modification de la sortie AUDIO des HP vers le Casque (mon épouse enregistre depuis longtemps avec Audacity (1.3 Béta) !!
J'ai eu des soupçons sur ce logiciel car c'est après un enregistrement que les Pb sont arrivés!!

Voilà les dernières infos et je dois dire que Malwarebytes et Avira me paraissent complémentaires! Quel est à ton avis le bon logiciel de protection?

Merci pour ton aide.

PS: J'arrête l'ordi par le maintien du bouton de mise en marche car il reste en veille.

Harfang
HA
anonyme
Groupe :
Visiteur
Annonce
Lego Icons Les Fleurs de Prunier - Décoration Florale - Plante sans Entretien à Offrir - Set de Construction de la Collection Botanique pour Adultes - Activité relaxante pour Hommes et Femmes 10369
24.90 €  29.99 €
Lego Icons Les Fleurs de Prunier - Décoration Florale - Plante sans Entretien à Offrir - Set de Construction de la Collection Botanique pour Adultes - Activité relaxante pour Hommes et Femmes 10369
Générique Ugly Pull Noel Rigolo Femme Hiver, Drole Pull de Noel Femmes,Pull Noel Moche,Pull Noel Famille Assortis,Pull Noel Famille,Noel Sweat Polaire Hiver Chaud Sweatshirt Femme
10.99 €
Générique Ugly Pull Noel Rigolo Femme Hiver, Drole Pull de Noel Femmes,Pull Noel Moche,Pull Noel Famille Assortis,Pull Noel Famille,Noel Sweat Polaire Hiver Chaud Sweatshirt Femme
Publicité
anonyme
31/10/2011 00:19 #6
Un petit complément !!!

Je viens de découvrir que la première attaque date du 11/10 par TR/CryotXPACK (trojan) Gen3 et ensuite par C\Doc é Setting\\Mairiuna\Application data\Sun\Java\Deployement\Cache\6.0\21\64ff76d5-546aea60 virus ou prog EXP/210-840Q(exploit) et enfin BDS/Kelihos.B.135 qui a fait 18 attaques contre Avia et qui a percé Avira Guard le 13/10 dans C\windows\Temp !!!!!

Les tentatives de contact avec les sites extérieurs (ID nombreux !!) se répètent environ toutes les 20 à 30 secondes!

Cordialement

Harfang
HA
anonyme
Groupe :
Visiteur
31/10/2011 07:58 #7

Harfang a écrit :

Pendant que j'écris ce texte (sur mon ordi) l'autre ordi BIP avec blocage de logiciel avec Malwarebytes et détection de virus par AVIRA (C\System Volume information\restore(DF76ADE4-6AC8-4053-980988F2A53981OF)\RP819\A0136970.com virus ou programme indésirable "TR/Dldr.Unry.H.14) ce qui pourrait également correspondre à un Pb constaté de la modification de la sortie AUDIO des HP vers le Casque (mon épouse enregistre depuis longtemps avec Audacity (1.3 Béta) !!
J'ai eu des soupçons sur ce logiciel car c'est après un enregistrement que les Pb sont arrivés!!.

Pour commencer il semble que la restauration que tu as faites n'a servie à rien, la vérole étant dedans.
Pour le logiciel, je ne pense pas sauf si tu l'as téléchargé sur un site douteux.


Tu as essayé de faire un scan complet en mode sans echecs?

Et une restau avant le 13/10 => 01/10

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
16233
31/10/2011 09:04 #8
Bonjour,
Je n'ai pas fait de scan en mode sans échec, je vais le faire.
La restauration n'était effectivement pas assez antérieure, je vais la refaire et je te tiens au courant.
Merci pour tout, c'est super sympa !!

Harfang
HA
anonyme
Groupe :
Visiteur
Annonces
Publicité
anonyme
31/10/2011 11:41 #9
Point d'avancement !!
J'ai fait un peu vite !!!
J'ai rebranché le disque pour tout restaurer au 1/10 avant le scan mode sans échec!!!
Mais j'ai du faire un point de sauvegarde car Windows m'a annoncé que le disque de 1To ne serait pas pris en compte, ce que j'ai fait.
Lorsque cette restauration a été faite , windows annonçait une erreur sérieuse et proposait l'envoie d'un message sur microsoft, ce qui a été annulé car le serveur a rejeté la demande. J'ai alors fait une copie d'écran sous Word mais je n'ai jamais pu l'enregistrer et tout a été bloqué !!
J'ai donc annulé cette restauration. A la fermeture de Windows pour le redémarrage de XP l'ordi est resté en veille et les HP étaient de nouveau basculé sur le casque.
J'ai relancé en faisant reset et ouverture en mode sans échec avec prise en charge de internet (câble débranché). J'ai lancé le scan de tout l'ordi.
Je te tiens informé.

Cordialement

Harfang
HA
anonyme
Groupe :
Visiteur
31/10/2011 16:48 #10
Voici le résultat du Scan. Tout est correct.
Ce matin, l’ordi a été utilisé par mon épouse et rien ne s’est passé, pas d’attaque détectée par Malwarebytes.

Par contre depuis le début de cet AM, cela n’arrête pas. J’espère que Malwarebytes bloque bien tout car c’est une pression permanente (toutes les 10s) avec changement d’IP !! Dés que je débranche le câble d’internet ou que l’on stoppe toute activité sur internet cela se calme. J’ai fait une recherche « IP reverse » et j’ai obtenu des sites en Russie, en Roumanie, à l’Ile de Man, USA, ….etc

J’ai recherché comment réparer le blocage de l’arrêt de l’ordi sur la fenêtre de « Windows se ferme » ou noir équivalent veille, mais je n’ai pas encore trouvé.

Voici le CR de Malwarebytes qui lui est « OK ». Malgré tout le logiciel malveillant est toujours là et je ne sais pas où ! Est-ce que Malwarebytes ne pourrait pas nous permettre de le (ou les) localiser (s’il a fait des copains) ?

Hormis cela, le disque dur de 1To que j’ai rebranché ne gratte plus !


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8047

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/10/2011 22:11:07
mbam-log-2011-10-30 (22-11-07).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 164481
Temps écoulé: 8 minute(s), 2 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Merci pour ton aide.

A+

Harfang
HA
anonyme
Groupe :
Visiteur
Vous souhaitez contribuer à ce sujet ?
Vous avez une réponse à apporter, vous avez une solution ?
Venez répondre !
C'est gratuit et aucun compte à créer pour répondre dans le forum.
Vous souhaitez poser une question ?
Vous avez une autre question, pour un nouveau sujet ?
Venez demander !
C'est gratuit et aucun compte à créer pour poser votre question dans le forum.
 
Vous avez trouvé cette réponse utile ? Partagez-la !