[djinnzfree]

salut bonjour!
mon premier post sur votre forum qui me fût recommandé par un ami!
alors je roule avec windowxp, j'ai avast et zonealarm ainsi qu'un rooter d-link pour un p'tit réseau avec mon vieux ordi qui est jamais allumé... sauf pour faire les changements d'heure.

j'ai eu une alerte avast suite à une visite sur un site de Q... JS:feeds family m'a infecté.

j'ai passé un scann on-line kaspersky:
C:\Documents and Settings\moi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\ms-counter.jar-4535331c-1f36ae2c.zip/BaaaaBaa.class Infected: Trojan.Java.ClassLoader.ao skipped

C:\Documents and Settings\moi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\ms-counter.jar-4535331c-1f36ae2c.zip/VaaaaaaaBaa.class Infected: Trojan.Java.ClassLoader.ao skipped

C:\Documents and Settings\moi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\ms-counter.jar-4535331c-1f36ae2c.zip/Baaaaa.class Infected: Trojan.Java.ClassLoader.ao skipped

C:\Documents and Settings\moi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\ms-counter.jar-4535331c-1f36ae2c.zip ZIP: infected - 3 skipped

C:\Documents and Settings\moi\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\moi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\moi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\moi\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\moi\Local Settings\Historique\History.IE5\MSHist012007050520070506\index.dat Object is locked skipped

C:\Documents and Settings\moi\Local Settings\Temp\~DF4B8C.tmp Object is locked skipped

C:\Documents and Settings\moi\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\moi\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\moi\NtUser.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt Object is locked skipped

C:\Program Files\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.617 skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\System Volume Information\_restore{6011D19B-C5ED-4EE0-9C30-AFAC2C756006}\RP289\change.log Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked skipped

C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked skipped

C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped

C:\WINDOWS\Internet Logs\LUI.ldb Object is locked skipped

C:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\Temp\Perflib_Perfdata_658.dat Object is locked skipped

C:\WINDOWS\Temp\ZLT03108.TMP Object is locked skipped

C:\WINDOWS\Temp\ZLT03115.TMP Object is locked skipped

C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.
-----------------------------------------
puis j'ai téléchargé hijack this:
Log supprimé
---------------------------------------------
je sais que je suis infecté pis j'fais quoi après?
merci à celui ou celle qui aura de la patience avec moi!
 

[Lenouvdu44]

Bonjour,
Je m'y mets, te tiens au courant. Je suis légèrement pris en ce moment, donc un poil de patience, j'essaie de te faire ça le plus rapidement possible.

Peux tu me préciser ce que cela te fait ? Popup, lag, etc ?
Merci.

Ensuite, enregistre Hijackthis sur ton bureau, renomme le en dtpc (tu fais bouton droit sur hijackthis, puis renommer, tu tappe dtpc, et tu fais entré) puis tu nous refait un scan.

Et, aussi, va sur ce lien et télécharge Blacklight(de F-Secure) :
https://europe.f-secure.com/blacklight/try.shtml et sauvegarde le sur ton Bureau
Consulte le tuto de Malekal_morte ici :
http://www.malekal.com/tutorial_f-secure_BlackLight.html
Tu suis le tuto pour la phase 1 (scan) et tu postes le rapport de blacklight dans ta réponse.
_________________
L'nouv qui devient L'vieux 

[djinnzfree]

ce que ça fait... euuhh j'ai rien remarqué...

c'est juste que l'avast a détecté qque chose et je l'ai mis en quarantaine. étant donné que je lis pas tout et que je suis "intuitif"... y a des trucs que je "maitrise" et d'autres moins...

-----------------------------------------------
Log supprimé
---------------------------------
c'est mieux ainsi?


edit: voici le blacklight log

05/05/07 17:12:30 [Info]: BlackLight Engine 1.0.61 initialized
05/05/07 17:12:30 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/05/07 17:12:30 [Note]: 7019 4
05/05/07 17:12:30 [Note]: 7005 0
05/05/07 17:12:32 [Note]: 7006 0
05/05/07 17:12:32 [Note]: 7011 1748
05/05/07 17:12:32 [Note]: 7026 0
05/05/07 17:12:32 [Note]: 7026 0
05/05/07 17:12:35 [Note]: FSRAW library version 1.7.1021
05/05/07 17:23:40 [Note]: 7007 0
_________________
°°°comment ça fonctionne???°°° 

[!aur3n7]

Bonjour,

Le rapport Hijackthis est OK, le Rapport Kaspersky démontre une trace d'infection dans le cache JAVA.
La version installée n'étant pas à jour on va en profiter

=> Met à jour JAVA

* Rend toi sur ce lien http://java.sun.com/javase/downloads/index.jsp
-- Descend et clique sur Java Runtime Environment (JRE) 6.0
-- Clique sur le bouton "Download" à droite
-- [X] coche la case "Accept License Agreement".
---- après réactualisation de la page
-- dans la catégorie
Windows Platform - Java(TM) SE Runtime Environment 6
---- Clique sur le lien Windows Offline Installation, Multi-language
* Désinstalle les anciennes versions
-- Démarrer, Panneau de configuration ajout / suppression de programme
-- Recherche et désinstalle la ou les anciennes versions JRE Runtime Environment... (il est possible qu'il y en ai plusieurs
* Ferme toutes les applications en cours (Internet explorer,etc..)
* Installe la nouvelle version en double cliquant sur le fichier jre-6-windows-i586-iftw.exe téléchargé au début.

Une fois cela fait refais un scan sur Kaspersky afin de confirmer que cela ai suffit.

A+ 

[djinnzfree]

suite au téléchargement de la nouvelle version de JavaSunMedia et une nouvelle analyse de kaspersky il semble que je soit tout propre!

-----------------------------------------------
Log supprimé
--------------------------------------------------
un énorme merci à chaqun des 2 intervenants/guides soit:
Lenouvdu44 et !aur3n7
c'est juste moche que se soit quand on a des problèmes que l'on fasse "connaissance"!
merci beaucoup!
_________________
°°°comment ça fonctionne???°°° 

[Lenouvdu44]

Bonjour,
Plus de problème pour ma part, attendons l'avis de !aur3n7 mais en principe c'est bon
_________________
L'nouv qui devient L'vieux 

[!aur3n7]

Bonjour,