Comprendre le bitcoin, l'intelligence artificielle, faire un site web... En 3 minutes en vidéo!

cheval de troie dans win32 et publcités intempestives

Forum informatique > Aide Virus, Spywares et autres logiciels malveillants > cheval de troie dans win32 et publcités intempestives

<<<1234>>>

[Page 2 sur 4 - 59 messages]
Informations Messages

ptit-bouchon

Avatar de ptit-bouchon
29 messages
Barrette de RAM
Barrette de RAM

Lien direct Le 17 Juin 2007 à 14h45

Salut J'ai un souci avec cette analyse: pour virusscan, après "submit" je reçois ça:
"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

et pour virustotal, après "send" je reçois ça:
"0 bytes size received / Se ha recibido un archivo vacio"

NB: NOD32 s'est ouvert au moment de la recherche avec "parcourir" justement sur ces 2 fichiers mais je n'ai pas osé les supprimer! Rougis

 

Publicité

Gof

Avatar de Gof
846 messages
Carte Mère
Carte Mère

Lien direct Le 17 Juin 2007 à 23h10

Bonsoir ptit-bouchonSourire

C'est parce que le fichier est en cours d'utilisation et qu'il doit se prôtéger, cela arrive très souvent avec les fichiers infectieux. Pour contourner cela fais la manipulation suivante :

Télécharge SFP de Safer Networking Limited sur ton bureau.

    [*:74er9k2y]Décompresse le (clic droit dessus, extraire tout). [/*:m:74er9k2y]
    [*:74er9k2y]Double-clique sur le fichier sfp.exe[/*:m:74er9k2y]
    [*:74er9k2y]Dans l'onglet Step 1:Paste text, copie-colle la liste suivante : [/*:m:74er9k2y]

    C:\WINDOWS\system32\xlfqdybs.Vdll
    C:\WINDOWS\system32\unifbmbr.VVdll

    [*:74er9k2y]Clique sur Continue[/*:m:74er9k2y]
    [*:74er9k2y]Ferme SFP en cliquant sur la croix (X) en haut à droite. [/*:m:74er9k2y]
    [*:74er9k2y]Tu vas avoir sur ton bureau un fichier qui se nomme requested-files[chiffres].cab où les chiffres entre [] correspondent à la date et l'heure de la création de l'archive. [/*:m:74er9k2y]



C'est ce fichier à l'extension cab que tu vas faire analyser à présent.

A bientôt.

 

ptit-bouchon

Avatar de ptit-bouchon
29 messages
Barrette de RAM
Barrette de RAM

Lien direct Le 18 Juin 2007 à 13h09

Salut Gof! Voilà donc le scan de virustotal du fichier

Complete scanning result of "requested-files_2007-06-18_12_43_", received in VirusTotal at 06.18.2007, 12:47:55 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.16.0 06.18.2007 no virus found
AntiVir 7.4.0.32 06.18.2007 no virus found
Authentium 4.93.8 06.16.2007 no virus found
Avast 4.7.997.0 06.18.2007 no virus found
AVG 7.5.0.467 06.17.2007 no virus found
BitDefender 7.2 06.18.2007 no virus found
CAT-QuickHeal 9.00 06.16.2007 no virus found
ClamAV devel-20070416 06.18.2007 no virus found
DrWeb 4.33 06.18.2007 no virus found
eSafe 7.0.15.0 06.17.2007 no virus found
eTrust-Vet 30.7.3726 06.18.2007 no virus found
Ewido 4.0 06.18.2007 no virus found
FileAdvisor 1 06.18.2007 no virus found
Fortinet 2.85.0.0 06.18.2007 no virus found
F-Prot 4.3.2.48 06.08.2007 no virus found
F-Secure 6.70.13030.0 06.18.2007 no virus found
Ikarus T3.1.1.8 06.18.2007 no virus found
Kaspersky 4.0.2.24 06.18.2007 no virus found
McAfee 5054 06.15.2007 no virus found
Microsoft 1.2607 06.18.2007 no virus found
NOD32v2 2336 06.18.2007 no virus found
Norman 5.80.02 06.18.2007 no virus found
Panda 9.0.0.4 06.17.2007 no virus found
Prevx1 V2 06.18.2007 no virus found
Sophos 4.18.0 06.12.2007 no virus found
Sunbelt 2.2.907.0 06.09.2007 no virus found
Symantec 10 06.18.2007 no virus found
TheHacker 6.1.6.134 06.18.2007 no virus found
VBA32 3.12.0.2 06.15.2007 no virus found
VirusBuster 4.3.23:9 06.17.2007 no virus found
Webwasher-Gateway 6.0.1 06.18.2007 no virus found


Aditional Information
File size: 406 bytes
MD5: 43222a6c65601684ed5ca684a4c8a83f
SHA1: 1d9e19d0c3e3ea6c9e956b00ffb84a5f5be840e4

C'est bizzarre non qu'il ne trouve aucun virus alors que nod32 me dit le contraire dans les fenêtres d'avertissement! Enfin tu comprendras certainement mieux que moi Choqué
Bonne journée!

 

Gof

Avatar de Gof
846 messages
Carte Mère
Carte Mère

Lien direct Le 18 Juin 2007 à 23h52

Bonsoir ptit-bouchonSourire

Fais moi parvenir de fichier cab s'il te plait de cette manière la.

Rends toi sur ce lien : http://www.mytempdir.com/.

    [*:3grvvgot]Clique sur Parcourir. [/*:m:3grvvgot]
    [*:3grvvgot]Une fenêtre va s'ouvrir, pointe jusque sur le fichier CAB qui nous intéresse. [/*:m:3grvvgot]
    [*:3grvvgot]Clique sur Host it.[/*:m:3grvvgot]
    [*:3grvvgot]Une nouvelle page va s'ouvrir. [/*:m:3grvvgot]
    [*:3grvvgot]Fais moi parvenir en message privé, via mon profil dans le forum le lien se trouvant sous cette indication : Link to the file:. [/*:m:3grvvgot]
    [*:3grvvgot]Et le lien suivant, se trouvant sous cette indication : To remove this file from our server use this link:. Note le également de sorte de le retrouver facilement par la suite quand si on en a encore besoin. [/*:m:3grvvgot]

 

ptit-bouchon

Avatar de ptit-bouchon
29 messages
Barrette de RAM
Barrette de RAM

Lien direct Le 19 Juin 2007 à 11h50

BonjourCool
Voilà, c'est envoyé en message privé!

 

Gof

Avatar de Gof
846 messages
Carte Mère
Carte Mère

Lien direct Le 19 Juin 2007 à 23h56

Bonsoir ptit-bouchonSourire

Merci, mais malheureusement l'archive cab n'a pas pu être réalisée. Supprime l'outil SFP de ton pc, tu n'en as plus besoin.

On va essayer autrement.

Télécharge IceSword de pjf_ sur ce lien : http://mail2.ustc.edu.cn/~jfpan/download/IceSword120_en.zip


    [*:k41n71y7]Dézippe le sur ton bureau.[/*:m:k41n71y7]
    [*:k41n71y7]Ouvre le dossier qui vient d'être créé[/*:m:k41n71y7]
    [*:k41n71y7]Double-clique sur IceSword[/*:m:k41n71y7]
    [*:k41n71y7]Dans la colonne de gauche, clique sur File[/*:m:k41n71y7]
    [*:k41n71y7]Clique sur la croix de Local Disk ( C: )[/*:m:k41n71y7]
    [*:k41n71y7]Clique sur la croix de Windows[/*:m:k41n71y7]
    [*:k41n71y7]Clique sur le dossier system32[/*:m:k41n71y7]
    [*:k41n71y7]Recherche le fichier suivant xlfqdybs.Vdll[/*:m:k41n71y7]
    [*:k41n71y7]Une fois trouvé, clique-droit dessus, choisis Copie to...[/*:m:k41n71y7]
    [*:k41n71y7]Nomme le "Gof1.dll" et enregistre le sur ton Bureau.[/*:m:k41n71y7]
    [*:k41n71y7]Ferme IceSword[/*:m:k41n71y7]



Recommence la manipulation, avec le deuxième fichier :

    unifbmbr.VVdll

Et nomme le Gof2.dll.

Ensuite, recommence la manipulation précédente et fais moi parvenir de la même manière les deux liens, merci.

A bientôt.

 

ptit-bouchon

Avatar de ptit-bouchon
29 messages
Barrette de RAM
Barrette de RAM

Lien direct Le 20 Juin 2007 à 22h07

Salut Gof, j'ai fait les deux fichiers gof1 et gof2 mais est-ce que ce sont ces fichiers que je dois mettre dans "parcourir" de mytempdir (car rien ne se passe lorsque je le fais) ou c'est le fichier cab de la précédente manipulation? Merci Rougis

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 21 Juin 2007 à 13h49

BonjourClin d'oeil

C'est Gof1.dll et Go2.dll que tu dois envoyer

 

ptit-bouchon

Avatar de ptit-bouchon
29 messages
Barrette de RAM
Barrette de RAM

Lien direct Le 21 Juin 2007 à 19h09

Salut Gof! Désolé mais rien à faire; dans mytempdir je clique sur parcourir, gof1.dll ou gof2.dll puis sur host it et c'est la même page qui revient, sans aucun lien à te transmettre! J'ai tenté plusieurs fois mais... :roll:

 

Gof

Avatar de Gof
846 messages
Carte Mère
Carte Mère

Lien direct Le 21 Juin 2007 à 23h19

Bonsoir ptit-bouchonSourire

Je viens d'essayer, le service est disponible pourtant. Peux tu réessayer ? Es tu sur de bien faire défiler toute la page ? Elle est comment ? Toute vierge ?

Nb : merci Synthexe d'avoir répondu pour lui permettre d'avancer.Clin d'oeil

Si cela ne fonctionne toujours pas, essaie sur ce lien. La méthode est sensiblement la même, l'interface est un petit peu différente. Il te faudra cliquer sur upload files, puis upload with flash et de suivre les instructions. Sur ce lien, il faudra me communiquer Download Link: et Your delete link is:.

A plus.

 

ptit-bouchon

Avatar de ptit-bouchon
29 messages
Barrette de RAM
Barrette de RAM

Lien direct Le 22 Juin 2007 à 20h29

Salut! C'est la même chose sur ce lien, la réponse est "You didn't pick a file to upload". Je t'assure que j'ai essayé plusieurs fois sur les deux liens, j'ai même refait les fichiers gof1.dll et gof2.dll au cas où je l'aurais mal fait la première fois mais c'est toujours pareil, comme si ces fichiers sont vides! :argh:
Sur Mytempdir la première moitié de la page est vierge et dessous il y a l'encadré avec "parcourir" (vide) j'ai même cliqué sur "skip this ad" est la réponse a été "Error: Uploaded file size is 0 Kb."

Désolé de ne pas y arriver!Triste

 

Gof

Avatar de Gof
846 messages
Carte Mère
Carte Mère

Lien direct Le 24 Juin 2007 à 12h30

Bonjour ptit-bouchonSourire

Bon, ce n'est pas ta faute, ne t'inquiète pas.

Peux tu réessayer toute la mnipulation précédente, mais en l'effectuant en mode sans échec ?

Pour rappel :

Citation

-Redémarre en mode sans échec :
(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)
[quote:2bsj6ba6]Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,
Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu&#8217;à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].

[/quote:2bsj6ba6]

Ensuite, tu redémarres à nouveau en mode normal, et tu réessaies d'uploader ces fichiers. Si cela ne fonctionne toujours pas, on changera de méthode.Clin d'oeil

 

ptit-bouchon

Avatar de ptit-bouchon
29 messages
Barrette de RAM
Barrette de RAM

Lien direct Le 24 Juin 2007 à 15h53

Salut Hello Et bien toujours pas! Si j'ai bien compris, en mode sans échec, tu voulais que je crée les fichiers gof1.dll et gof2.dll? Si c'est bien ça je n'y suis pas parvenue car Iceword n'a pas voulu s'ouvrir, il a affiché un message d'erreur! :zen:

 

Gof

Avatar de Gof
846 messages
Carte Mère
Carte Mère

Lien direct Le 24 Juin 2007 à 17h18

Lol. On va y arriverClin d'oeil

Supprime Icesword.

Rends toi dans le répertoire dans lequel tu as décompressé diaghelp et copie-colle le fichier catchme.exe dans le répertoire c:\windows.

Ensuite, copie-colle le texte suivant (sans le mot code) dans le bloc-notes (menu démarrer, exécuter, tape notepad):

    Code

    @echo off
    For %%g in (
    %windir%\system32\xlfqdybs.Vdll
    %windir%\system32\unifbmbr.VVdll
    ) do (
    catchme -l nul -c %%g "%%~g.vir"
    catchme -l nul -k "%%~g.vir"
    if exist "%%~g.vir" del /a/f "%%~g.vir"
    )>nul 2>&1
    echo.Please submit the file, catchme.zip located on Desktop
    pause
    exit


    [*:3elqm6vw]Assure toi que le retour automatique à la ligne n'est pas activé[/*:m:3elqm6vw]
    [*:3elqm6vw]Sauvegarde comme gof.bat sur le Bureau :[/*:m:3elqm6vw]
    [*:3elqm6vw]Nom: gof.bat[/*:m:3elqm6vw]
    [*:3elqm6vw]Type: Tous les fichiers[/*:m:3elqm6vw]


Localise gof.bat sur le Bureau (il aura cette icône -> ), double-clique dessus.
A l'invitation, appuie sur une touche.
Tu dois avoir à présent un fichier catchme.zip sur ton bureau, fais le moi parvenir comme indiqué précédemment.

 

ptit-bouchon

Avatar de ptit-bouchon
29 messages
Barrette de RAM
Barrette de RAM

Lien direct Le 24 Juin 2007 à 22h36

Voilà c'est posté en message privé! Clin d'oeil

 

<<<1234>>>

[Page 2 sur 4 - 59 messages]

Forum informatique > Aide Virus, Spywares et autres logiciels malveillants > cheval de troie dans win32 et publcités intempestives