Bonjour a tous
 
depuis maintenant 5 jour jme tringballe gentiement le trojan
 
Exploit-CodeBase.gen
 
Mcaffee me le detecte sur le moment, mais ne parvient pas a deleter le fichier concerné
Il est dans les temporary/contentIE.5/54587/Connect[1].html
 
Jai été cherché ce fameux connect.html mais il nexiste pas :s le dossier etc mais pas le fichiers.
 
Jai alors viré tous les dossiers qu'il y avait dans ContentIE.5 mais il est revenu. Jai scanné avec Trend HouseCall qui me la trouvé et deleté. Mais il est revenu :s. Jai utiliser Panda Antivir online, qui me la délété mais il est revenu 1 heure plus tard    
 
Jai mis a jour mon Mcafee jai fais un scan, il ma trouvé 9 fichiers vérolé, tous on été supprimé avec succes, je pensais etre tranquil...mais non il revient encore.
 
Jai lu sur le support mcaffee qu'il suffisait d'un scan manuel pour le supprimer....bin oui mé non  donc je me demande si ia pas une clé de registre a supprimer. Merci de votre aide car la je sature

un pti up svp

up svp

Jdois abandonner ou éteindre mon PC a vie?

As-tu installé le patch, comme indiqué ici :
http://us.mcafee.com/virusInfo/def [...] us_k=99383

bin il date de 2002 donc jpense que ca a été corrigé
 
jsuis sous XP SP1
 
 
merci

Voila du neuf il savere que ce virus est en fait
 
Dialer Rad db .gen
 
Daté du 14 avril par mcafee
 
http://vil.nai.com/vil/content/v_101792.htm
 
 
le prob est que Mcafee le detecte avec lupdate, supprime le fichier dex585.exe sans probleme
 
Mais.....des que je me connecte, dans le gestionnaire de tache je vois qu'une fenetre IE s'ouvre, fait appel a un site, qui me re d/l le fameux dex585.exe
 
je ne sais plus quoi faire, jai meme enlever mon HDD master en le mettant en slave pour le scanné, dautres fichiers corrompu ont été trouvé, mais une fois de plus le fameux .exe est réapparu
 
des idées svp?

up

Ta fenetre qui s'ouvre au démarrage et qui te fait re dl le dialer, essaie de trouver d'ou elle vient : regarde dans le menu demarrer, dans msconfig; si tu arrives a virer cette mer.. ca devrait aller ensuite.

non je nai rien qui souvre dans mes fichiers de démarrage que des fichiers normaux.
 
Jai d/l TCP view et jai vu que une fenetre IE souvrait(sans que je puisse le voir autrement qu'avec TCP view) se connect a un site (advancehoster) et d/l le virus
merci

Je veux pas insister, mais y a pas de magie dans un pc
Il doit bien se lancer au demarrage.

oué oué je sais bien, je vais te dire tout ce que se lance au démarrage ché moi
 
Alogserv (mon antivirus mcafee)
Bridgemon (pour ma connexion adsl)
desktop
desktop
Easy access keyboard( les touches dacces faciles clavier)
kernel default check (je sais pas ce que cest)
Mcaffe instant updater
Msnmsg(MSN messenger)
Nerocheck (pour nero)
Rundll32 (pour executer les dll)
Zonelabsclient (zone alarme)
 

verifie dans la base de registre sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
et la mme chose sous HKCU, ou peut etre aussi au niveau des services? t'a verifier tout les process qui tourne sur ton pc? process explorer et pratique pour ca je trouve.

Bon je crois que je l'ai enlever en :
- un coup de adware qui supprime les clés de registre
- en utilisant speed touch dial up qui permet de lancer l'url que l'on veut, pour eviter de re-telecharger le virus
et après je change la page de démarrage...
J'espere que je m'en suis debarasser    
Je crois que je l'ai choper sur une page d'anime wallpapers, il m'avait proposer de telecharger un truc, je croyais que c'était une mise à jour flash truc du genre comme je venais de formater et voila  

tu avais le meme Clayd..
 
merci knives jvai voir ca

Ok bon dans les 2 trucs de registre qu'il il y a les meme choses que celles que jai cité ci dessus rundll32 etc etc, rien de plus
 
Oué jvais installé process explorer cest comme ca que jai bien vu que IE se lancais tout seul et allait cheché le truc.
 
Merci bcp
jai pas capté le principe de speed Touch Dial Up

up

la prise de tete jen peux plus, la maintenant il me détecte Byte Verifer  et encore d'autre trucs.....jen peux plus

 
perso, apres 2 heures de recherche, test infructueu, j aurrais formaté

oui cest sur ji ai pensé, m'enfin si je formatte pour retomber sur le site qui me la foutu eu..jsuis pas partant ^^

 
ba une fois formaté, tu install ta machine comme il fo :
 
Windows Update
firewall
antivirus.
 
 
et c est bon tu est sauf

bin jai deja toutes les MAJ XP, jai déja un antivirus et un ifrewall a jour, ca ma pas empecher de le chopé une fois

un ti coup de reg cleaner pe etre...

 
correctement configuré le FW ?

 
comment se fait-il que les autres ne l'attrapent pas
 

Pareil, apres delete, reg cleaner jai passé, SpyBot jai passé, adaware etc
 
 
Zcool>> configuré de la sorte qu'il laisse ouvert Internet Explorer(logique) et que cest a travers ca que la virus revient a chaque fois
 
 
Serveur>> je sais encore ce que je dis, ji vais tt lé jour et jai "0 MAJ critiques"

 
IE autorisé en sortie unikement sur les ports 80 et 443. ca ca devient de la configuration pour IE un peut plus fiable.
 
 
ensuite, il y a des javascripts ki sont pas blocable par Firewall, et la, il fo un antivirus ki scan les page Web et script pour voir s il n y a rien de dangeureux.
 
 
mais dit moi ? si tu sais kel est le site responssable, pourkoi continu tu d y aller ?  

Neo>> je ne remettais pas ta bonne foi en doute, mais si cela se confirmait, ce serait un cas qui démonte l'argument classique, que l'on attrape rien si on est à jour sur XP (et IE bien entendu)..
ce serait intéressant..

Zcool>> ok je connaissait pas les prob, je fais essayé de restreindre ca alors.
 
Non je connais pas le site, je sais simplement qu'a ma connection ia qque chose qui se lance(et qui pourtant nest pas dans les programmes se lancant au démarrage) qui m'ouvre IE(je le voix que avec processe Explorer) et il me download le .exe foireux et paf alerte virus
 
Pour les javascripts, jai mis mcaffe en scan total(activeX etc) donc logiquement il me scan tout.
 
Serveur> jviens encore d'alleur sur windows update, les derniers mise a jour critique je les ai faites ia 3 jours environ
 
merci de votre aide en tt cas.
 
 
 
EDIT : sous ZoneAlarm Pro cest ou qu'on restreint les ports svp?

 
dans le dernier kerio, il monitor et demande l autorisation pour chaque application lancé par une autre application.

parreil pour ZA pro donc jai désactivé la case "autorisé a utiliser dautre prog"
 
merci

Bon jen peux plus jme tringballe cette merde
 
mais maintenant cest du MHT redir ou Exploit COdebase
 
 
Jai enfin trouvé ou le virus se connécté ne cliqué pas bien sur....
 
http://cgi.adultpresident.com
 
jai cherché dans le registre, et il trouve une clé dans
 
HKEY_USERS\S-1-5-21-1606980848-706699826-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\adultpresident.com
 
 
jai bo la supprimé elle revien instantanément
 
je craque X_X

up please...

Le rapport de Hijack this
 
je sais ce qui merde mais bon
 
Logfile of HijackThis v1.97.7
Scan saved at 19:45:49, on 18/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Compaq\Easy Access Keyboard\MMKeybd.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\SAGEM\SAGEM F@st 908-948\BridgeMon.exe
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\Program Files\Compaq\Easy Access Keyboard\MMUSBKB2.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Samurize\Client.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Compaq\Easy Access Keyboard\nhksrv.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Mes documents\Fichiers zip install soft\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = +s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = +s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EASY ACCESS KEYBOARD] C:\Program Files\Compaq\Easy Access Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Bridgemon] C:\\Program Files\\SAGEM\\SAGEM F@st 908-948\\BridgeMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Samurize] C:\\Program Files\\Samurize\\Client.exe
O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\rundll32.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor
O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Organise-notes (HKLM)
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
 
 
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://66.117.42.151/1/deaFR19.exe
 
 
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/down [...] mv9VCM.CAB
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/5 [...] taller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 0287037037
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/S [...] /cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - http://www.seagate.com/support/dis [...] atools.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/ [...] cfscan.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] owdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE06A797-53B1-457B-B433-E03CCE946F98}: NameServer = 212.27.32.177 213.228.0.212
 
 
Jai bo faire FIX, recherché dans le registre les clé portant ce nom et les supprimé, rien a faire, ca revient dans la minute....

Dans les trucs louches que je vois :
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
 
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://66.117.42.151/1/deaFR19.exe  (surtout celui la ) virre le !
 
T'as passé un coup de AdAware, SpyBot et CWSShreader (pas sur du nom) ?
 

merci darxmurf
 
jai viré déja ces lignes bizarre, mais elles reviennent constamment
 
jai passé mc affee spybot, ad aware, trendhousecall et jen passe, mais rien a faire....

Vire :
 
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
 
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k  
 
O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\rundll32.exe <- celui la c'est un connard il a rien a faire la ! c'est dans system32 normalement ! copie le fichier ailleurs au cas ou !

en passant, envoie moi le fichier rundll32 en question sur poubelle@quad-resistance.com

 
si c'est le FW de XP ben vire le il sert à rien car il bloque rien en sortie
Si c'est ZA comme on le voit dans ton hijack be il est mal configuré et ne bloque pas le port de sortie
 
utilise un outil comme activeport pour voir quel port est utilisé par ton troj en temps réel et ensuite ferme le port correspondant avec ZA  euh connait pas bien les paramétrage de ZA moi    
 
au moins sa aura le mérite de ne plus être uttilisé.

 
Je vois que tu te payes du about blank, je sais pas si c'est ça ton probème, mais tu dois le zapper pasque ça te change ta page d'acceuil et ta beau le virer avec adaware ou spybot il revient sans cesse.
Pour le virer il te faut CWShredder (il te le chope, le detruit et ça revient plus).  
Voila, teste c'est peut être ça qui mrd.