java byteverify

[Jaunin]

Bonjour à toutes et à tous,
Je suis harcelé par java byteverify dès que je me connecte par l'adsl à internet.
Norton antivirus 2007 et spy sweeper 5 le détecte et le met en quarantaine, mais
les alertes se déclenchent en raffale et me bloque le pc, je redémarre avec un reset, je perds tout mon travail.
J'ai utilisé toutes les procédures décrites par ces programmes pour l'éradiquer, mais rien n'y fait, il revient.
Je n'ai pas réussi à trouver l'éventuel lien qui le rappel à chaque fois.
J'ai la dernière version de java Sun 1.5.0.0.9.
Je suis sous windows xp pro sp2 et toutes les sécurités sont activées.
Comment éradiquer cette sal... une fois pour toute.
Dans l'attente de votre réponse (si possible) avec mes remerciements et mes meilleures salutations.
Jaunin
-----

[igor51]

Bonsoir et Bienvenue Sur Futura !!


Fais ceci

1. Clique sur Démarrer -> panneau de configuration
2. Ouvre "Java Plug-in Control Panel"
3. Dans l'onglet "Général", trouve "Temporary Internet Files"
4. Clique sur "Delete Files" et sur "OK"

Ensuite fais la procédure pré-nettoyage pour vérification >> http://forums.futura-sciences.com/thread69698.html
Puis poste les rapports dans ce sujets en pièces jointe!

Bonne soirée,

Igor

[Jaunin]

Bonjour,
Je vous remercie pour votre prompte réponse.
Je vais suivre vos instructions.
Avec mes remerciements.
Jaunin__

[Jaunin]

Bonjour, Igor51,
Après avoir suivi les instructions, j'ai effectivement été tranquille quelques jours, mais ça y est c'est reparti pour les attaques. Je vais refaire la manip. Quel m..... ce machin.
Meilleures salutations.
Jaunin__

[A voir en vidéo sur Futura]

[igor51]

Bonjour !!

Ensuite fais la procédure pré-nettoyage pour vérification >> http://forums.futura-sciences.com/thread69698.html

Igor

Je te conseille de faire la procédure de pre-nettoyage qui nous permettra de voir si cela ne cache pas une plus grosse bebette.


Bonne journée,

Igor

[Jaunin]

Bonjour, Igor51,
J'ai constaté que même non connecté à ADSL, le byteverify s'active, je viens de refaire le nettoyage et le Hijackthis que je mets en pièce jointe, j'espère que j'ai fait corectement la procédure. Si jamais je devais joindre un autre document je suis prêt, en espérant que le pc ne se bloque pas. En ce moment j'ai les messages de l'attaque de spysweeper et norton 2007 qui clignotes.
Avec mes remerciements.
Jaunin__

[igor51]

Bonjour Jaunin,

tu as une belle infection, mais on va y remédier.

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

Télécharge le FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:


O17 - HKLM\System\CCS\Services\Tcpip \..\{238489ED-4572-4818-B4E9-784005303F83}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CCS\Services\Tcpip \..\{5664287F-EFD8-40DA-97EF-322FF5B6D4B7}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CCS\Services\Tcpip \..\{EAC06AC2-91B7-45B9-B989-80CB20838C15}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CCS\Services\Tcpip \..\{FD34D5F4-4557-4E26-955A-3B6740E659FE}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CS1\Services\Tcpip \..\{238489ED-4572-4818-B4E9-784005303F83}: NameServer = 85.255.114.35,85.255.112.13

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le rapport C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

Bonne journée,

Igor

[Jaunin]

Bonjour, Igor51,
Je vous remercie pour votre réponse, même un dimanche sur la brèche !.
Je vais me dépécher de suivre vos précieuses instructions et je ne manquerais de vous tenir informé.
Merci.
Jaunin__

[Jaunin]

Re Bonjour, Igor51
Me revoila.
Je viens d'exécuter la procédure, mais je n'ai pas eu le temps d'envoyer le message que l'attaque avait reprise et que le pc c'est bloqué.
Doit-on arrêter Norton et Spysweeeper ?
Faut-il "virer" les lignes en backup ?
Quand cette vacherie sera complètement éradiquée comment éviter quelle revienne malgrés les protections.
Avec mes remerciements.
Jaunin__

[Jaunin]

Désolé, je ne sais pas si les fichiers joints on passé.
Je les remets.
Merci.
Jaunin__

[igor51]

Bonsoir Jaunin,

je te donnerai tous les conseils pour ne plus te faire infecter mais une fois ton pc propre.

Tu n'a rien mis en pièce jointe, remets les s'il te plait.

Laisse norton et les back-up de norton, tu pourras les enlever à la fin de la procédure.

Par contre fait-il firewall? Es-tu derrière une box?

Attention : Ton système ne dispose pas de Firewall, ce qui est très dangeureux ! Pour éviter de prendre une autre infection, il est indispensable que tu installes un firewall, je te conseille de choisir parmis les pare-feu suivants qui sont gratuits :

• Zone alarm
• kerio
• outpost

Si tu ne sais pas configurer, tu trouveras ci-dessous des aides :

• Tutorial pour kerio
• Tutorial pour Zone Alarm
• Tutorial pour Outpost Free

Bonne soirée,

Igor

[Jaunin]

Bonjour, Igor51,
Voilà les fichiers, j'ai eu un petit souci, ils ne voulaient pas se mettre en fichiers attachés.
J'ai le firewall de win XP pro sp2.
Je parlais de virer les fichiers de backups de HijackThis.
Merci pour toutes ces réponses.
Jaunin__

[Jaunin]

Bonjour, Igor51,
Est-ce normal que j'aie le message :
Pièces jointes en attente de validation.
Salutations.
Jaunin__

[yoda1234]

Est-ce normal que j'aie le message :
Pièces jointes en attente de validation.

Bonjour,

oui, les pièces jointes doivent être validées par un des membres de l'équipe de Futura, ce que j'ai fait à l'instant.

[Jaunin]

Bonjour,
Je vous remercie pour vos réponses, j'apprécie énormément le sérieux du forum futura sciences.
Merci.
Jaunin__

[igor51]

Bonsoir!!

Voici la suite de la procédure :

1/

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
- Clic en bas sur "I accept"
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
- Poste fsbl-bxxxx.log
Aide : Tu peux consulter le tutorial de F-Secure BlackLight

2/

Fais un scan en ligne avec Kaspersky WebScanner
Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
Le scan va commencer.Poste le rapport qui sera généré stp.

3/

Ta console Java n'est pas à jour. Les plus vieilles versions ont des vulnérabilités que les malwares peuvent utiliser pour infecter ton système. Suis cette procédure pour supprimer les composants des vieilles versions de Java et faire les mises à jour.

Mise à jour de Java:

• Télécharge la dernière version : Java Runtime Environment (JRE) 5.0 Update 9.
• Descent la page pour voir "The J2SE Runtime Environment (JRE) allows end-users to run Java applications".
• Clique sur "Download" Le bouton sur la droite.
• Coche la case: "Accept License Agreement".
• La page sera rafraichie.
• Clique sur le lien pour télécharger Windows Offline Installation avec ou sans le Multi-langage and sauveagrde le sur ton Bureau.
• Ferme tous les programmes qui peuvent tourner, surtout ton navigateur web.
• Clique sur Démarrer > Panneau de configuration double-clique sur Ajout/Suppression de programme et supprime toutes les vieilles verions de Java.
• Cherche tous les items avec Java Runtime Environment (JRE or J2SE) dans leur nom.
• Clique sur Supprimer ou Modifier/Supprimer.
• Répète autant de fois que nécessaire cette opération pour supprimer tous les composants Java .
• Redémarre ton ordinateur une fois que la désinstallation de tous les composants est effectuée.
• Ainsi depuis ton Bureau, double-clique sur jre-1_5_0_09-windowsi586-p.exe pour installer la nouvelle version.

Bonne soirée,

Igor

[Jaunin]

Bonsoir, Igor51,
Merci pour cette nouvelle procédure, que je vais pratiquer immédiatement.
J'avais déjà fais la mise à jour de java et supprimé toutes les anciennes versions.
Serait-il nécessaire d'enlever la dernière version de java et de la remettre après la procédure 1 & 2.
Jaunin__

[igor51]

Bonsoir,

non non, si tu as mis à jour ton Java, alors pas de problème garde le et ne fait donc pas le point 3/ de la procédure.

Bonne soirée,

Igor

[Jaunin]

RE-bonsoir, Igor51,
C'est en ordre, je n'ai pas touché ma dernière version de java.
Je joins les fichiers de F-secure et 2 fichiers de Kaspersky, un sur les fichiers zones critiques et un sur poste de travail, que j'ai arrêté en cours de route, car sur des disques de téléchargement de très gros programmes sûrs.
J'ai dû m'y prendre à plusieurs fois car le pc se bloque toujours à cause de byteverify.
Bonne journée.
Jaunin__

[igor51]

Bonsoir !!

On continue :

Ensuite télécharges et installes :
KillBox de Option^Explicit
Aide Killbox

sélectionne entièrement la liste ci-dessous :

Code:

C:\WINDOWS\Temp\{0B9DAA9F-B273-47CD-817B-9B600BB0E28F}	
C:\WINDOWS\Temp\{E234A606-16BE-4C3D-9F50-F79430F6662E}	
C:\WINDOWS\Temp\{F6470D5B-969F-410C-BF03-B61F70AFD1C4}
C:\WINDOWS\{00000003-00000000-00000002-00001102-00000004-20021102}.CDF
C:\Documents and Settings\All Users\Application Data\Symantec\SubEng\Temp\{380ae73f-b98a-4c43-b58a-b55df23b603c}	
C:\Documents and Settings\All Users\Application Data\Symantec\SubEng\Temp\{470d689e-f336-410d-9fa3-00284232c6be}	
C:\Documents and Settings\All Users\Application Data\Symantec\SubEng\Temp\{76b091d4-eab3-4092-b8a5-a4a97a6ae1a3}	
C:\Documents and Settings\All Users\Application Data\Symantec\SubEng\Temp\{bde5a837-53c6-40ee-b87b-7ae2abfc247b}

---> et tu fais clic droit / copier

Ouvres killbox
- Sélectionne "delete on reboot"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur All Files
- Clique sur la croix rouge et et blanche
- Répond yes et laisse redémarrer ton pc.
N'hésite pas à consulter l'Aide killbox

NOTE: Si tu reçois le message "PendingFileRenameOperatio ns Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

Après redémarrage, relance Killbox puis clic sur le menu fichier -> Logq -> Actions History Log
Poste le rapport ici

Refais ensuite un scan avec kasperky et poste le rapport

Bonne soirée,

Igor

[Jaunin]

Bonsoir, Igor51,
On continue plus que jamais.
J'ai installé killbox et j'ai suivi la procédure.
Je ne sais pas s'il y a cause à effet, mais dès que j'ai exécuté killbox, j'ai eu une attaque de byteverify. Chaque fois que mes protections le détectent, je reçois une nouvelle attaque.
J'envoie déjà un rapport, le prochain va suivre car le pc a déjà été bloqué entre temps.
Salutations.
Jaunin__

[Jaunin]

Bonsoir,
Suite.
Voici les fichiers de rapport.(si j'arrive à les joindres)
J'ai une attaque en cours et elle n'est pas visible dans les fichiers.
Salutations.
Jaunin__

[Jaunin]

Bonsoir,
Suite.
Voici les fichiers de rapport.(si j'arrive à les joindres)
Le fichier de killbox ne passe pas: Erreurs d'upload
J'ai changé le nom, il ne passe toujours pas.
Salutations.
Jaunin__

[Jaunin]

Bonsoir,
RE-Suite.
Voici le fichier de rapport KASPERKY
Salutations.
Jaunin__

[Jaunin]

RE-Bonsoir,
Merci einstein pour ses renseignements.
Je joint le rapport en texte ci dessous.

Pocket Killbox version 2.0.0.648
Running on Windows XP as Jaunin(Administrator)
was started @ mercredi, décembre 06, 2006, 12:56 AM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\Temp\{F6470D5B-969F-410C-BF03-B61F70AFD1C4}


# 2 [Delete on Reboot]
Path = C:\WINDOWS\{00000003-00000000-00000002-00001102-00000004-20021102}.CDF


# 3 [Delete on Reboot]
Path = C:\Documents and Settings\All Users\Application Data\Symantec\SubEng\Temp\{bde 5a837-53c6-40ee-b87b-7ae2abfc247b}


I Rebooted @ 12:58:02 AM
Killbox Closed(Exit) @ 12:58:22 AM
______________________________ ____________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Jaunin(Administrator)
was started @ mercredi, décembre 06, 2006, 1:01 AM

Killbox Closed(Exit) @ 1:04:25 AM

Salutations.
Jaunin__

[igor51]

Bonsoir!!

Il est collant lui tiens !!


Voici la suite :

Télécharge ATF Cleaner par Atribune.

1/ Redémarre en mode sans échec

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

2/ Affiche tous les fichiers/dossiers

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
2. Cocher la case : Afficher les fichiers et dossiers cachés
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
5. Cliquer Appliquer puis OK

3/ Suppression manuelle

Supprime les fichiers suivants en gras:

C:\Documents and Settings\All Users\Application Data\Symantec\SubEng\Temp\{380ae73f-b98a-4c43-b58a-b55df23b603c}
C:\Documents and Settings\All Users\Application Data\Symantec\SubEng\Temp\{470d689e-f336-410d-9fa3-00284232c6be}
C:\Documents and Settings\All Users\Application Data\Symantec\SubEng\Temp\{76b091d4-eab3-4092-b8a5-a4a97a6ae1a3}
C:\Documents and Settings\All Users\Application Data\Symantec\SubEng\Temp\{a82576d4-f74f-4fde-a668-4125315245be}
C:\WINDOWS\{00000003-00000000-00000002-00001102-00000004-20021102}.CDF
C:\Documents and Settings\All Users\Application Data\Symantec\SubEng\Temp\{380ae73f-b98a-4c43-b58a-b55df23b603c}
C:\Documents and Settings\All Users\Application Data\Symantec\SubEng\Temp\{470d689e-f336-410d-9fa3-00284232c6be}
C:\Documents and Settings\All Users\Application Data\Symantec\SubEng\Temp\{76b091d4-eab3-4092-b8a5-a4a97a6ae1a3}
C:\Documents and Settings\All Users\Application Data\Symantec\SubEng\Temp\{bde5a837-53c6-40ee-b87b-7ae2abfc247b}


Vide la corbeille !!

4/ Utilisation d'ATF-Cleaner :

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

5/ Redémarre en mode normal.

Si tu as toujours des alertes, des blocages.

En passant par Démarrer-> Panneau de configuration, désinstalle tous les produits relatifs à Java.

Redémarre en mode sans échec.

Refais la procédure au niveau de ATF-Cleaner, et si tu peux toujours utiliser SpySweeper, fais un scan avec, sinon fais en un avec AVG-AS.

Redémarre en mode normal et viens me dire ce qu'il en est.

Si tu es obligé de faire la deuxième solution, on vérifiera qu'il ne reste plus rien , et je te ferai réinstaller Java pour les appliquation qui le demande.

Bonne soirée,

Igor

[Jaunin]

Bonsoir, Igor51,
Tout d’abord, merci pour toutes ces informations très détaillées.
En ce qui concerne java, lors de sa mise à jour, j’avais profité pour enlever toutes les anciennes versions ainsi que les programmes. Actuellement je n’ai que les applets javas relatif à futura-sciences.
Je vais enlever les lignes mentionnées en modes sans échec, ce son les lignes qui sont chaque fois enlevées quand je vide la quarantaine de spy sweeper

Je vous recontacts une fois finis.
Salutations.
Jaunin__

[Jaunin]

Bonsoir, Igor51,
Voilà, je viens de faire la suppression manuelle en mode sans échec et exécuter ATF-Cleaner select all (ça fait peur) mais c'est fait.
Je n'ai pas eu d'attaque pour l'instant, le scan de SpySweeper na rien trouvé. Je vais encore lancer un scan complet avec NAV.
Je n'ai pas encore relancé mes programmes de CDFAO pour voir s'ils fonctionnent normalement, certain utilise Java.
Je vous tiens au courant dès que possible.
Bonne journée.
Jaunin__

[igor51]

Bonjour!

Ok pour ce que tu as fait.

Par contre, peux-tu ais refaire un scan avec kasperky online, et ensuite me poster le rapport.

Si les rapports s'avèrent clean, tu pourras réinstaller Java.

Bonne soirée,

Igor

[Jaunin]

Bonsoir, Igor51,
Voilà, résumons.
Je n'ai pas désinstallé la dernière version de Java, elle est toujours restée en place.
Après avoir suivi la dernière méthodologie et redémarré le pc, non connecté à l'adsl, j'ai lancé un scan complet du pc avec NAV 2007. Après 19 heures de scan et
8'145'095 fichiers inspectés, il n'y a pas de "salop…" et aucune attaque de byteverify venant de l'intérieur.
Pour l'instant tous semblent calmes, je vais reprendre l'utilisation du pc en étant connecté internet.
Sait-on d'où vien byteverify pour ne pas y mettre nos électrons et comment s'en protéger sans qu'il nous plante la machine.
Je surveille ça de prêt pendant quelques jours et je vous tiens informé. Si toute fois je dois procéder encore à des manipulations, je suis toujours prêt.
Meilleures salutations.
Jaunin__