comment virer trj/downloader.jh ? pas de solution ??? - Sécurité - Windows & Software
Marsh Posté le 20-07-2004 à 12:39:24
Salut,
Analyse ton PC avec cet antivirus en ligne : http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", clique sur "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici.
Marsh Posté le 20-07-2004 à 21:36:42
voila
Scanning memory...
process://C:\WINNT\system32\WinBasic32.exe - Win32/NetWorm.gen! -> Infected
process://C:\WINNT\system32\windrive.exe - Backdoor:IRC/SdBot.gen! -> Suspicious
process://C:\WINNT\system32\windrive.exe - Backdoor:IRC/SdBot.gen! -> Suspicious
process://C:\WINNT\system32\WinBasic32.exe - Win32/NetWorm.gen! -> Infected
Scanning boot sectors...
Scanning files...
C:\WINDOWS\SYSTEM32\WinBasic32.exe - Backdoor:Win32/IRCBot -> Infected
C:\WINNT\autoclk.exe - Trojan:Win32/KillReg.D -> Infected
C:\WINNT\system32\WinBasic32.exe - Backdoor:Win32/IRCBot -> Infected
C:\WINNT\system32\dgoswtjs.dll - TrojanDownloader:Win32/PurityScan.D -> Infected
C:\WINNT\system32\tksrv98.exe - TrojanDownloader:Win32/Esepor.Q -> Infected
C:\Documents and Settings\Administrateur.C7FF61BC06614B7\WinBasic32.dat - Backdoor:Win32/IRCBot -> Infected
C:\Documents and Settings\Administrateur.C7FF61BC06614B7\Local Settings\Temp\u070104.exe - TrojanDownloader:Win32/Small.FV -> Infected
C:\Documents and Settings\Administrateur.C7FF61BC06614B7\Local Settings\Temporary Internet Files\Content.IE5\32CRF18T\iindex[1].htm->(OBJECT0000) - HTML/CodeBaseExec* -> Infected
C:\Documents and Settings\Administrateur.C7FF61BC06614B7\Local Settings\Temporary Internet Files\Content.IE5\32CRF18T\iindex[1].htm->(OBJECT0001) - HTML/CodeBaseExec* -> Infected
C:\Documents and Settings\Administrateur.C7FF61BC06614B7\Local Settings\Temporary Internet Files\Content.IE5\32CRF18T\iindex[1].htm->(OBJECT0004) - HTML/CodeBaseExec* -> Infected
C:\Documents and Settings\Administrateur.C7FF61BC06614B7\Local Settings\Temporary Internet Files\Content.IE5\32CRF18T\iindex[1].htm->(OBJECT0005) - HTML/CodeBaseExec* -> Infected
C:\Documents and Settings\Administrateur.C7FF61BC06614B7\Local Settings\Temporary Internet Files\Content.IE5\8XC96J4H\res3_8[1].htm - JS/Psyme.gen* -> Infected
Marsh Posté le 20-07-2004 à 21:56:31
Redémarre en mode sans échec (appuie f8 au démarrage de l'ordi) et
assure-toi que tu as accès aux fichiers cachés.
(ouvre l'explorateur windows->outils->options des dossiers->affichage
coche "Afficher les fichiers cachés" )
et supprime ces fichiers:
C:\WINNT\system32\WinBasic32.exe
C:\WINNT\system32\windrive.exe
C:\WINNT\system32\WinBasic32.exe
C:\WINNT\autoclk.exe
C:\WINNT\system32\dgoswtjs.dll
C:\WINNT\system32\tksrv98.exe
C:\Documents and Settings\Administrateur.C7FF61BC06614B7\WinBasic32.dat
C:\Documents and Settings\Administrateur.C7FF61BC06614B7\Local Settings\Temp\u070104.exe
et le dossier: C:\Documents and Settings\Administrateur.C7FF61BC06614B7\Local Settings\Temporary Internet Files\Content.IE5\
Redémarre et refais un RAVANTIVIRUS
Marsh Posté le 20-07-2004 à 22:37:17
2eme passage
C:\WINDOWS\SYSTEM32\WinBasic32.exe - Backdoor:Win32/IRCBot -> Infected
[edit]
C:\RECYCLED\Dc29.exe - Backdoor:Win32/IRCBot -> Infected
C:\RECYCLED\Dc31.exe - Trojan:Win32/KillReg.D -> Infected
C:\RECYCLED\Dc32.dll - TrojanDownloader:Win32/PurityScan.D -> Infected
C:\RECYCLED\Dc33.exe - TrojanDownloader:Win32/Esepor.Q -> Infected
C:\RECYCLED\Dc34.dat - Backdoor:Win32/IRCBot -> Infected
C:\RECYCLED\Dc35.exe - TrojanDownloader:Win32/Small.FV -> Infected
la je vais simplement vider la corbeille !!
Marsh Posté le 21-07-2004 à 18:49:06
salut a tous, j'aimerais savoir si ça a marché pour toi ROB a propos de downloader.jh
Personnellement je suis également infecté par lui et panda antivirus me dit qu'il se trouve dans doc and settings\proprio\local settings\temporary internet files\content.IE5\ax856xex\cax[1].cab[ole32ws.dll]
meme en cherchant ds les fichiers cachés je ne l'ai pas trouvé.
Si qlq'1 a une version plus direct pour supprimer downloader.jh je suis preneur.
Merci d'avane
Marsh Posté le 21-07-2004 à 19:24:54
Ouvre Internet explorer et vas dans Outils=>Options internet
Dans le champ "Fichiers Internet Temporaires", cliques sur "Supprimer les fichiers".
coches la case "Supprimer tout le contenu hors connexion" et fais Ok.
Marsh Posté le 21-07-2004 à 23:14:01
carot69 a écrit : salut a tous, j'aimerais savoir si ça a marché pour toi ROB a propos de downloader.jh |
toujours meme probleme meme localisation .../content.ie (introuvable a cet endroit d'ailleur) et ce malgré Outils=>Options internet
-Fichiers Internet Temporaires-Supprimer les fichiers
Marsh Posté le 21-07-2004 à 23:45:12
Troj/Krepper-J
Aliases
TrojanDownloader.Win32.Krepper, Downloader-JH, Win32/TrojanDownloader.Krepper.A1, TROJ_KREPPER.J
Type
Trojan
Detection
A virus identity (IDE) file which provides protection is available now from the Latest virus identities section, and is incorporated into the June 2004 (3.82) release of Sophos Anti-Virus.
At the time of writing, Sophos has received just one report of this Trojan from the wild.
Description
Troj/Krepper-J is a Trojan for the windows platform.
When exectued Troj/Krepper-J copies itself to a "services" subdirectory within the windows system folder.
To enable Troj/Krepper-J being run at windows start up it sets the following
registry entries:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
xpsystem="<windos system folder>\services\<Trojan filename>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
xpsystem="<windos system folder>\services\<Trojan filename>"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\
run="<windos system folder>\services\<Trojan filename>"
It also adds the following entries in the windows configuration files
win.ini and system.ini:
load=<windos system folder>\services\<Trojan filename>
Troj/Krepper-J sets the following regisrty entries to act as an internet explorer
plug-in. This enables Troj/Krepper-J to be run when Internet Explorer is run:
HKCU\Software\Microsoft\Internet Explorer\Main\
Enable Browser Extensions="yes"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\@=""
Recovery
Please follow the instructions for removing Trojans
---->ICI<----
je n'ai plus acces a ma bdr pour le moment alors carot à toi de voir !
Marsh Posté le 21-07-2004 à 23:55:06
apres 3e passage
Scan started at 21/07/2004 22:59:30
Scanning memory...
Scanning boot sectors...
Scanning files...
Scanned
============================
Objects: 81929
Directories: 5197
Archives: 1999
Size(Kb): -1511920
Infected files: 0
Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 559
:ouch::ouch:comme c'est bizarre :ouch::ouch:
Marsh Posté le 22-07-2004 à 10:00:22
bon alors rob j'en suis au meme point que toi, càd pas de changement malgré les conseils précieux de SGGK (je te remercie d'ailleurs pour ton implication) et g recherché également ds content.ie.
c peut etre à ce niveau que sggk peut nous aider.
et Outils=>Options internet
-Fichiers Internet Temporaires-Supprimer les fichiers n'amène rien de mieux.
Ce qui est fou c que panda antivirus le detecte, mais cet imbécile me prévient seulement de la présence d'un dossier suspect, sans me proposer de le supprimer.
Je suis dépité
Marsh Posté le 22-07-2004 à 16:32:14
refais un scan avec rav, il va dire ou le virus se trouve
et toi rob, où en est ton problème?
Marsh Posté le 22-07-2004 à 19:22:06
bein en fait rav ne trouve rien sur mon pc, alors que panda le localise
Marsh Posté le 22-07-2004 à 19:23:32
et puis je sais ou il se trouve avec panda, mais impossible de le trouver par moi mem par la suite: ds content.ie5\ax856xex\cax[1].cab[ole32ws.dll]
Marsh Posté le 22-07-2004 à 19:49:08
carot69 a écrit : et puis je sais ou il se trouve avec panda, mais impossible de le trouver par moi mem par la suite: ds content.ie5\ax856xex\cax[1].cab[ole32ws.dll] |
idem
carot69 a écrit : bein en fait rav ne trouve rien sur mon pc, alors que panda le localise |
idem
[edit]
carot as tu essayé [url=http://www.sophos.com/virusinfo/analyses/trojkrepperj.html]cela
[/url] ??
Marsh Posté le 23-07-2004 à 15:35:02
si rav ne trouve rien, c'est que le pc est exempt de virus.
Mais si tu as toujours un doute, telecharge HijackThis ici (enregistre-le dans un répertoire à lui, par exemple: C:\Hijackthis\) :
lance-le, clique sur scan, puis "save log" et colle ici le contenu qui s'affiche sans rien faire d'autre
Marsh Posté le 23-07-2004 à 15:43:45
merijn a un problème depuis un certain temps je crois (pas que chez moi hein ) donc le lien que j'ai demandé à mettre dans le topic spyware est le suivant
http://computercops.biz/downloads-cat-14.html (c'est pas un lien direct, celui-ci est donné sur la page )
Marsh Posté le 23-07-2004 à 20:12:11
ReplyMarsh Posté le 24-07-2004 à 12:39:01
non, car rav possède la plus grande signature virale en ce qui concerne les antivirus en ligne.
Mais il est vrai que aucun antivirus est efficace à 100%.
c'est pour ça que je demandais vos logs HijackThis.
Marsh Posté le 19-07-2004 à 22:15:54
la je coince ...
merci pour votre aide
Message édité par rob le 23-07-2004 à 20:26:53