Trojan & Dialer (GAMEGLOVIN)
Répondre à la discussion
Affichage des résultats 1 à 26 sur 26

Trojan & Dialer (GAMEGLOVIN)



  1. #1
    invitec44f7feb

    Trojan & Dialer (GAMEGLOVIN)


    ------

    Bonjour a toutes et a tous,

    Depuis une semaine, AVAST me signale que j'ai un trojan sur mon ordinateur. AprVs un scan complet avec AVAST, le problème persiste. De plus, j'ai une fenêtre internet explorer qui s'ouvre régulièrement me demandant si je veux travailler hors connection ou recommencer. De temps en temps, AVAST me signale qu'un "dialer" essaye de se connecter, et le site en question est "http://gameglobin.info/g.php?wmid=bg004\[UPX]"

    AVAST dit de plus qui il y a des traces de Win32:DialerVWStat-C [Trj] et de Win32:DialerVWStat-BN [Trj].

    Je vous joins les divers rapports générés lors de la procédure préliminaire, en espérant que cela vous permettra de m'aider a m'aider.

    Merci d'avance.

    Croisou

    -----
    Fichiers attachés Fichiers attachés

  2. #2
    invite275db609

    Re : Trojan & Dialer (GAMEGLOVIN)

    Bonjour croisou et bienvenue sur Futura-Sciences

    Tu es effectivement infecté par un rootki récent et collant...
    Le nettoyage en cas de rootkit n'est jamais garanti a 100% ... avant donc de te lancer dans la désinfection, sauvegarde tous tes documents importants ...

    On attaque la bestiole :
    • Télécharge rustbfix (par ejvindh) de l'un de ces deux liens :
      http://www.uploads.ejvindh.net/rustbfix.exe
      http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe
      ...et sauvegarde-le sur ton Bureau.
    • Double clique rustbfix.exe afin de lancer l'outil.
    • Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
    • Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
    • Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

    Bonne journée

  3. #3
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Salut synthexe,

    Je te remercie pour la réponse rapide. Je suis pret a me battre pour me débarrasser de ce rootki.

    Je ne peux pas sauvegarder mes documents tout de suite, par simple manque de matériel (DD externe a la maison). Cependant, j'ai partitionné en 3 mon disque, et tous mes documents sont soit sur le D soit sur le E, le C étant la partition pour Windows. Est-ce que je peux me lancer dans la désinfection, ou est-ce que je dois vraiment attendre d'avoir sauvegardé mes données sur mon DD externe ?

    Merci.

    Croisou

  4. #4
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Bon, j'ai lance rustbfix, and voici le rapport... rien

    Croisou
    Fichiers attachés Fichiers attachés

  5. A voir en vidéo sur Futura
  6. #5
    invite275db609

    Re : Trojan & Dialer (GAMEGLOVIN)

    Reu

    Les fichiers sur D: et E: ne devraient pas etre infecté ... tu peux donc continuer tranquillement ...

    Télécharge la derniere version beta de catchme : http://files.thespykiller.co.uk/catchme.exe
    • Lance catchme
    • Clique sur le bouton Scan
    Un fichier catchme.log est alors créé sur le bureau, copie moi son rapport.

    @ + tard

  7. #6
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Voici le rapport en question. En esperant que ca aide.

    Croisou
    Fichiers attachés Fichiers attachés

  8. #7
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    En fait, je suis en train de me dire que le scan n'était pas complètement fini :s

    Je viens de le relancer, et te posterai le nouveau rapport une fois terminé.

    Croisou

  9. #8
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Bon, voila, il suffisait que je sois patient... Tu trouveras le rapport comme demande attache.

    Bonne lecture

    Croisou
    Fichiers attachés Fichiers attachés

  10. #9
    invite275db609

    Re : Trojan & Dialer (GAMEGLOVIN)

    Re bonjour croisou

    As-tu fait quelque chose pour virer le fichier détecté dans le 1er log catchme ? As-tu lancer 2 fois rustbfix de suite, et poster que le 2eme rapport, ce qui expliquerait que le fichier n'était plus détecté dans le rapport et qu'il n'est plus présent actuellement ?
    • Télécharge puis installe AVG Anti-Spyware (AVG AS) :
    • Une fois AVG AS lancé, clique sur "Mise à jour"
    • Ferme le programme.

    Redémarre en mode sans échec
    • Relance AVG AS puis choisis l'onglet "Analyse"
    • Puis l'onglet "Paramètres"
    • Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
    • Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
      Si un fichier est infecté détécté en fin d'analyse
    • Clique sur "Appliquer toutes les actions"
    • Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
    • Enregistre ce fichier texte sur ton bureau.

    Redémarre normalement.

    Poste le rapport en pièces jointes.

    Bonne soirée

  11. #10
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Bonsoir,

    Ba non, ecoute, je ne crois pas avoir fait autre chose que ce que tu m'as demande, si ce n'est lancer deux fois catchme, vu que j'ai arrete le premier pensant que c'etait termine alors que ca ne l'etait pas.

    Je te fais les manip de suite, et te donne les rapport dans la foulée. A toute.

  12. #11
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Bonjour,

    Alors tout d'abord, désolé pour le retard, mais j'ai du batailler un peu pour avoir la mise a jour... Bref, c'est fait mainenant, et voici le rapport comme demandé suite a l'analyse en mode sans echec.

    Bonne lecture.

    Croisou
    Fichiers attachés Fichiers attachés

  13. #12
    invite275db609

    Re : Trojan & Dialer (GAMEGLOVIN)

    Bonjour

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    • Double-clique VundoFix.exe afin de le lancer
    • Clique sur le bouton Scan for Vundo
    • Lorsque le scan est complété, clique sur le bouton Remove Vundo
    • Une invite te demandera si tu veux supprimer les fichiers, clique YES
    • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
    • Poste le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse, en pièce jointe.
    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
    • Fais un scan en ligne Kaspersky avec Internet Explorer :
    • Dans la nouvelle fenêtre, clique sur J'accepte.
    • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
    • Patiente pendant l'installation des Mises à jour.
    • Choisis par la suite l'analyse du Poste de travail
    • Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.
    AIDE : Configurer le contrôle des ActiveX
    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

    Poste moi le rapport vundofix, celui de Kaspersky et un nouveau rapport hijackthis ...

    @ plus tard

  14. #13
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Bonsoir,

    Alors voila, les taches quotidiennes ont été réalisées. Tu trouveras donc attache le rapport vundofix, le hijackthis qui a suivi, puis le rapport de l'analysis Kaspersky, et un nouveu rapport hijackthis.

    Comme je n'étais pas sur, je n'ai rien fait après l'analyse de Kaspersky, pas de netoyage ou autre action.

    Comme d'hab, bonne lecture (et merci pour ton aider)

    Croisou
    Fichiers attachés Fichiers attachés

  15. #14
    invite275db609

    Re : Trojan & Dialer (GAMEGLOVIN)

    Bonjour croisou

    Beau boulot, on continue, y'a encore un peu de travail

    Désinstalle par Ajout/Suppression de Programmes les anciennes versions de JAVA :
    Java version 1.5.0.6
    Java version 1.5.0.9

    Une question ... est-ce toi qui a configuré un proxy ?

    On passe à l'action :

    Assure toi d'avoir accès à tous les fichiers et dossiers :
    • Ouvre ton poste de travail.
    • Menu "Outils", "Option des dossiers", onglet "Affichage" :
    • Active la case : "Afficher les fichiers et dossiers cachés"
    • Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
    • Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
    • Clique sur "Appliquer".
    Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.
    • Analyse ce fichier cnlmciwx.dll chez virustotal :
      http://www.virustotal.com/xhtml/virustotal_en.html
    • Clique sur parcourir localise le fichier sur ton disque dur ( C:\WINDOWS\system32\cnlmciwx.d ll ) et clique sur send.
    • Attend le rapport et colle le dans ta prochaine réponse

    Lance hijackthis et clique sur Do a System Scan Only.
    Coche les lignes suivantes, si présentes :
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
    O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\cnlmciwx.d ll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {BB73F896-0296-46D0-AB12-29C3D8BDEB7C} - C:\WINDOWS\system32\ddcyv.dll (file missing)
    O2 - BHO: (no name) - {C0794E6B-C375-4E85-AE01-201170FA3F8E} - C:\WINDOWS\system32\awtst.dll (file missing)
    O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\ PlugIns\IEHelp.dll (file missing)
    O2 - BHO: (no name) - {DA0C29E1-1889-41EC-981F-19C48FFAFCD4} - C:\WINDOWS\system32\qomlmlj.dl l (file missing)
    O20 - Winlogon Notify: winzlo32 - winzlo32.dll (file missing)
    Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.
    • Télécharge OTMoveIt de OldTimer.
    • Sauvegarde le sur ton Bureau.
    • Double-Clique sur OTMoveIt.exe pour le lancer.
    • Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :
    Code:
    C:\WINDOWS\system32\cnlmciwx.dll
    C:\WINDOWS\SYSTEM32\winzlo32.dll
    C:\WINDOWS\system32\__delete_on_reboot__w_i_n_z_l_o_3_2_._d_l_l_
    • Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
    • Clique sur le bouton rouge Moveit!.
    • Ferme OTMoveIt.
      Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

    Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles, un nouveau rapport diaghelp option1, et un nouveau hijackthis en pièce jointe.

    Bonne journée

  16. #15
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Salut Synthexe,

    Je rencontre quelques problemes pour connecter mon portable (le malade) au boulot et donc, je me demande si je pouvais copier le fichier a analyse chez virustotal (cnlmciwx.dll) sur une cle USB et faire l'analyse depuis mon poste pro.

    Bien sur je ne veux pas infecte mon PC pro :S

    Sinon, pour le proxi, je pense que ce que tu as vu, c'est ce que le responsable reseau a fait sur ma machine pour que je puisse la connecter ici. Dois-je regarder ca de plus pret?

    Des que j'ai ta reponse, je me lance dans mes taches quotidiennes. Merci d'avance

    Croisou

  17. #16
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Et voila les rapports demandés tout chaud...

    Bonne lecture, et à bientot.

    Croisou

    PS : J'ai désinstallé les Java suivants, J2SE Runtime Environment 5.0 Update 6 et J2SE Runtime Environment 5.0 Update 9. Est-ce que c'était bien ce que tu me demandais ? Si oui, ne devrais-je pas désinstaller aussi les Updates 1 et 11 ? Si non, comment désinstaller correctement ce que tu voulais, et dois-je réinstaller les updates supprmées ?
    Fichiers attachés Fichiers attachés

  18. #17
    invite275db609

    Re : Trojan & Dialer (GAMEGLOVIN)

    Bonsoir croisou

    Tu te dois de désinstaller toutes les anciennes versions de JAVA et garder la dernière en date.

    Tu n'as pas répondu à ma question à propos d'un éventuel proxy ... pour compléter, te connectes-tu depuis l'écosse ?

    Supprime rustbfix que tu as déja téléchargé, puis reprend la procédure de mon 1er post (télécharge-le à nouveau, puis éxécute-le, poste les 2 rapports).
    • Télécharge Gmer http://gmer.net/gmer.zip et décompresse-le.
    • Décompresse-le (extrais-le).
    • Double-clique sur l'icone Gmer, puis sélectionne l'onglet "Rootkit" ; vérifie que tout soit coché à droite :
    1. System
    2. Devices
    3. Proceses
    4. Libraries
    5. Modules
    6. Services
    7. Registry
    8. Files
    • Clique ensuite sur "Scan" et laisse-le faire son travail. A la fin du scan clique sur "Copy", et dans ton prochain message -> clic droit/coller

    Bonne soirée

  19. #18
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Salut Synthexe,

    Je suis sur le point de rentrer chez moi, donc je te fais les manips ce soir. Je peux cependant repondre a ta question concernant le proxi : je me connecte depuis l'Ecosse effectivement, et dois utiliser un proxi quand je suis au boulot. Ce proxi a ete configure par mon responsable reseau.

    En passant, je suis un peu effraye que tu puisses voir ca dans les fichiers que je t'envoie :S

    Bref, je t'envoie plus de lecture dans la soiree.

    A demain matin j'imagine. Bonne soiree.

    Croisou

  20. #19
    invite275db609

    Re : Trojan & Dialer (GAMEGLOVIN)

    Bonjour croisou

    Je peux cependant repondre a ta question concernant le proxi : je me connecte depuis l'Ecosse effectivement
    Merci pour la réponse, j'avais besoin d'une confirmation pour m'assurer que c'etait légitime.
    En passant, je suis un peu effraye que tu puisses voir ca dans les fichiers que je t'envoie
    Pourquoi effrayé ? Tu sais, il faut avoir l'habitude d'analyser des rapports, savoir ou regarder et quelle base de données consultée ...

    J'attends un peu de lecture

    Bonne journée

  21. #20
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Oki, la lecture va arriver j'espere... J'ai lance trois fois deja le scan avec GMER, mais a chaque fois, mon PC plante avant que je n'ai pu sauvegarde le rapport. C'est comme si la memoire etait saturee. Pas de bureau, actions super lentes, et finalement, il se reboote tout seul.

    Le scan GMER est a nouveau en court en ce moment meme, on verra.

    A bientot j'espere.

    Croisou

  22. #21
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Alors voila les dernières news:

    Le scan rustbfix a été fait avec redemarrage du PC comme imaginé. Les deux rapports sont attachés à cet email.

    Toutes les versions de Java exceptées la dernière ont été désinstallées.

    Le scan Gmer n'a pas marché. A chaque fois, Windows redemarre, et une jolie fenêtre m'indique après le redémarrage que Windows a récupéré d'une erreur critique. J'ai pu sauvegarder une partie du dernier scan avant plantage, que j'ai aussi attaché à ce message.

    Voila tout ce que j'ai.

    Je vais être absent jusqu'à dimanche soir, donc ne pourrait reprendre la chirurgie de mon tendre portable que lundi.

    Bon week-end a toi Synthexe donc, et à lundi j'imagine.

    Croisou

    PS : je t'ai aussi rajouté un rapport hijackthis que je viens juste de faire
    Fichiers attachés Fichiers attachés

  23. #22
    invite275db609

    Re : Trojan & Dialer (GAMEGLOVIN)

    Bonsoir croisou

    Super travail ...

    Impeccable pour Rustbfix et pour JAVA ...

    bizarre pour GMER ... merci pour les rapports ...

    Pourrais-tu, stp, relancer un nouveau scan diaghelp option1 stp.

    Bon Week-end, à lundi

  24. #23
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Voila le rapport Diaghelp option 1 demandé.

    En espérant que tu as passé un bon weekend.

    A demain j'imagine.

    Croisou
    Fichiers attachés Fichiers attachés

  25. #24
    invite275db609

    Re : Trojan & Dialer (GAMEGLOVIN)

    Bonjour croisou

    Super, le rapport ne montre rien de particulier (a moins que j'ai raté quelque chose).
    As-tu encore des dysfonctionnements ?
    • Fais un scan en ligne Kaspersky avec Internet Explorer :
    • Dans la nouvelle fenêtre, clique sur J'accepte.
    • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
    • Patiente pendant l'installation des Mises à jour.
    • Choisis par la suite l'analyse du Poste de travail
    • Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.
    AIDE : Configurer le contrôle des ActiveX
    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

    Poste moi également un dernier rapport hijackthis, je pense qu'on touche au bout.

    Bonne journée

  26. #25
    invitec44f7feb

    Re : Trojan & Dialer (GAMEGLOVIN)

    Salut Synthexe,

    Voici les deux rapports demandés. J'aimerais te croire, mais j'ai peur que le rapport kaspersky montre qu'il y a encore du boulot... Enfin, tu es l'expert, donc j'attends ta réponse avec espoir

    Bonne soirée et à demain

    Croisou
    Fichiers attachés Fichiers attachés

  27. #26
    invite275db609

    Re : Trojan & Dialer (GAMEGLOVIN)

    Bonjour croisou

    Impeccable, les rapports sont propres, ce que montre Kaspersky est situé dans le backup d'OTmoveIT et dans le backup de vundofix.

    Fais ceci pour finaliser la désinfection :

    Démarrer --> Exécuter --> Saisie dans la zone de texte :
    Code:
    SC delete WebDriveService
    Valide en cliquant sur OK
    Recommence l'opération en saisissant ceci :
    Code:
    SC delete ACS
    Dis moi, quel est ton firewall ?? Il est indisensable d'en avoir un (autre que celui de microsoft).
    • Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
    • Coche la case "Désactiver le système de restauration..."
    • Redémarre l'ordinateur
    • Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
    • Décoche la case "Désactiver le système de restauration..."
    Et voila, un nouveau point de restauration qui est a priori propre.

    Désinsalle/supprime tout ce que je t'ai fait téléchargé ATF-Cleaner. (supprime les programmes, ainsi que les rapports, notemment les dossiers OTmoveIT et VundoFix.

    Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

    Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

    Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

    Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
    Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Types
    Ton infection était Rustock + Vundo/virtumonde

    Aide-toi des règles de Malware Complaints pour formater ton message.
    Merci de ton aide

    Bonne fin de journée

Discussions similaires

  1. probleme malware dialer instant_acces
    Par invitee1676327 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 1
    Dernier message: 02/10/2007, 22h57
  2. virus,win32 dialer 970
    Par invitea3df486e dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 1
    Dernier message: 09/09/2007, 10h43
  3. instant access\dialer
    Par invite82e3a8ee dans le forum Internet - Réseau - Sécurité générale
    Réponses: 5
    Dernier message: 26/12/2006, 01h22
  4. Trojan Win32:Dialer-593 [Trj] Urgent
    Par invite591fbdd9 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 1
    Dernier message: 29/07/2006, 16h28
  5. probleme de dialer?
    Par invite96b05486 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 5
    Dernier message: 24/06/2005, 07h03
Découvrez nos comparatifs produits sur l'informatique et les technologies.