DCom Exploit : virus, intrusion...?

[invite5546a17c]

Bonjour,

Je rencontre des soucis concernant Dcom Exploit avec mon ordinateur. Il semble virusé.

Avast détecte ce qui semble être des tentatives d'intrusion sur le port 135 de mon routeur (je passe par une FreeBox). J'ai repéré quelques adresses IP (détectées par Avast) :
82.266.127.160:135/tcp
82.67.32.130:135/tcp
82.67.1.129:135/tcp
82.67.32.120:135/tcp
82.67.150.84:135/tcp

Concrètement, Dcom Exploit qu'est-ce que c'est? Pourquoi je rencontre ce genre de problème?
Avast semble bloquer ces intrusions, mais sans les éliminer pour autant...Comment faire pour fermer le port 135 du routeur (FreeBox) par exemple si c'est ça qui cloche?

J'ai effectué les premiers gestes (ATF Cleaner, DiagHelp, HijackThis), mais impossible de lancer l'exécution de HijackThis car le programme se ferme aussitôt. De même quand je souhaite accéder à la page d'explication de Futura Science sur l'utilisation de HijackThis, mon navigateur Firefox plante (se ferme automatiquement).

J'ai quand même pu avoir le rapport de DiagHelp. Je transmets également une copie d'écran des avertissements visibles dans le visualiseur de journaux Avast.

De même, en utilisant DiagHelp un fichier "upload_moi_Mon Nom.tar.gz" s'est créé et je devais l'envoyer (upload) sur le site de "malekal" rubrique malwares...Bizarre (d'ailleurs je n'arrive plus non plus à accéder à cette page, Firefox plante également). Le fichier fait 56 Mo. Je l'ai fait puis j'ai voulu arrêter l'upload. Mais depuis j'ai toujours ma connexion qui semble s'activer comme si j'étais entrain de recevoir ou d'envoyer des données sans que je sache.

Bref, pas évident tout ça. Je serais heureux que vous puissiez m'éclairer sur le sujet et que vous m'aidiez à éradiquer le problème.

Très cordialement.

Dimitri
-----

[igor51]

Bonjour

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonne journée

[invite5546a17c]

Bonjour Igor51,

Comme on se retrouve! Merci pour ton aide.

Tout d'abord sache que j'avais un gros souci : je n'arrivais pas à lancer l'application HijackThis, les navigateurs Internet (Firefox et Internet Explorer) plantaient dès que je tentais d'ouvrir une page où étaient mentionnés les noms anti-virus, Norton, etc..., et mon ordinateur plantait également et redémarrait automatiquement (ce qui stoppait net la progression d'analyse en ligne de Kaspersky).

Par conséquent, j'ai repéré un fichier .exe qui posait ce problème : winppa.exe
J'ai pu le trouver sur le disque dur et le supprimer. "winppa.exe" s'exécutait automatiquement et engendrait tous ces bugs décrits ci-dessus.

Ce problème réglé, j'ai pu relancer normalement HijackThis et l'analyse Kaspersky.
Tu trouveras les rapports en pièces jointes.

Merci beaucoup de ton attention.

Cordialement.

[invite5546a17c]

Bonjour Igor51,

Est-ce que tu as pu étudier les différents rapports que j'ai posté?
Qu'en penses-tu?

Merci beaucoup pour ton aide.

Très cordialement.

[A voir en vidéo sur Futura]

[invite3438be2b]

Bonjour
est ce que tu as un antispyware sur ton PC???
tu sais c aussi important qu'un antivirus

[invite5546a17c]

Oui, j'ai un anti-spyware (AVG Anti-Spyware 7.5.1.43) et il est à jour.

J'ai fait un scan et il m'a seulement détecté un "TrackingCookie".

[igor51]

Bonjour


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Bonne journée

[invite5546a17c]

Bonjour,

Merci pour ton message.

En fait j'ai un souci : quand je suis sur la page pour passer en mode sans échec, mon clavier ne répond pas. Impossible donc de sélectionner le mode sans échec avec les flèches du clavier.

Comment contourner ce problème?

Cordialement.

[igor51]

Boonsoir,

alors je ne sais pas trop...

Fais cette procédure en mode normal :


Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

[invite5546a17c]

Bonjour Igor51,

Voilà c'est fait, en pièces jointes tu trouveras le rapport de Malwarebytes ainsi qu'un nouveau rapport HijackThis me disant que ça pouvait peut-être t'aider.

Pendant l'anaylse de Malwarebytes, Avast a détecté à nouveau un problème dont voici le message :

Chemin : C:\WINDOWS\SYSTEM32\SYSTEM23.D LL
Nom du virus : Win32:AKbot [Trj]
Type : Cheval de Troie

Merci encore pour ton attention.

Cordialement.

[invite5546a17c]

Bonsoir Igor51,

Est-ce que tu as pu analyser mon problème?

Actuellement j'ai un nouveau souci (j'ai comme l'impression que les problèmes s'accumulent) :
l'apparition très brêve d'une petite fenêtre NTkrnl au démarrage de Windows lorsque le bureau s'affiche.
Comment s'en débarasser?

Merci beaucoup pour ton attention.

[invite5546a17c]

Bonjour Igor51,

Tu es toujours là? Je reste à l'écoute de tes conseils et instructions.

Tiens-moi au courant dès que tu peux.

Cordialement.

[igor51]

Bonsoir


je suis désolé, tu es passé entre tous les cas et je ne t'ai pas vu ^^
J'ai bien noté pour la détection de AVAST, on va voir s'il n'y a pas encore autre chos eà supprimé et on fera le nettoyage après ce scan

Voici la suite des opération

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.


Bonne soirée

[invite5546a17c]

Bonjour Igor51,

Merci pour ta réponse. Effectivement, n'ayant plus de réponse j'avais déserté quelque peu le forum.

Par conséquent, je suis resté avec mon problème, sachant pertinemment qu'il y avait une intrusion mais que j'étais dans l'impossibilité de la supprimer. En dépit de ce problème, j'arrivais à travailler normalement sur mon ordinateur.

Cependant, les choses ont évolué : je n'ai, à l'heure actuelle, plus de connexion Internet et des programmes comme Windows Media Player sont impossibles à lancer.
Ce problème important est apparu dès que j'ai voulu faire des sauvegardes de mes fichiers sur un disque dur externe Lacie d'1 Téra. J'ai fait un premier transfert lourd de fichier une nuit entière. Ca semblait fonctionner. Puis j'ai tenté de sauvegarder vers ce disque dur d'autres fichiers. Et là impossible de procéder au transfert.

Conclusion : j'ai perdu ma connexion Internet et je ne peux ni copier ni sauvegarder des fichiers. Je suis vraiment bloqué.

La solution radicale serait le formatage. Mais j'ai un tas de données importantes à sauvegarder. Donc le formatage c'est non.

Si tu penses pouvoir apporter des solutions, je suis tout ouïe. Je suivrai tes conseils. Est-ce un spyware, est-ce le fait d'avoir installé le disque dur d'1 Téra (ça a bien pris 10 min avant qu'il soit identifiable par Windows XP sur mon ordinateur)?

Très cordialement.

[invite5546a17c]

Bonjour,

Je rencontre un problème important avec mon ordinateur. Depuis quelques jours :

-Je n'ai plus de connexion Internet, ma configuration réseau a disparu,
-Je ne trouve aucune information dans "Connexions réseau" (c'est vide),
-Je n'arrive plus à copier, glisser, transférer des fichiers et dossiers,
-Le thème graphique de mon Windows XP à changer,
-Les fichiers MP3, MPG, MOV sont impossibles à lancer,
-Windows Media Player ne se lance pas ainsi que d'autres programmes,
-Mon anti-virus Avast ne se lance pas au démarrage de Windows XP.

Bref, je suis complètement bloqué.

J'ai effectué une analyse avec AVG Anti-Spyware qui, lui, reste disponible. Il m'a trouvé 2 menaces importantes : "Trojan.Starter.o" et "Backdoor.Akbot.e".
Comme action, j'ai choisi de les supprimer.

J'ai procédé au nettoyage du disque dur avec ATF Cleaner.

J'ai ensuite effectué plusieurs analyses : DiagHelp, HijackThis, SDFix (en mode sans échec) dont vous trouverez les rapports en pièces jointes.
J'ai fait une deuxième analyse HijackThis après l'exécution de SDFix.

J'ai lancé à la fin une deuxième analyse avec AVG Anti-Spyware et il n'a rien trouvé (aucune menace identifiée).

Pour information, ces problèmes sont surtout apparus suite à l'installation d'un disque dur Lacie d'1 Tb (Téra) que j'ai débranché depuis. Peut-être y'a t-il un lien de cause à effet.
De plus, je n'arrive pas à installer Malware Byte's Anti-Malware, une erreur d'exécution 372 s'affiche (et quand bien même j'arriverais à l'installer, je ne pourrais pas effectuer la mise à jour du programme puisque je n'ai plus de connexion Internet).
Enfin, il m'est impossible d'effectuer une analyse en ligne avec Kaspersky (je n'ai plus de connexion Internet).

Pouvez-vous m'aider à résoudre ces difficultés?

Merci beaucoup de votre attention.

[invite5546a17c]

J'ai lancé une nouvelle discussion concernant mon souci.

Voir le lien suivant :
http://forums.futura-sciences.com/thread230260.html

Cependant, en pièce jointe tu trouveras les récents rapports effectués.

Cordialement

[JPL]

Discussions fusionnées.

[invite5546a17c]

JPL,

Je comprends le fait de fusionner mes deux sujets.

Cependant, mon problème n'a, je pense, plus grand chose à voir avec Dcom Exploit. Je crains que le sujet du topic ne soit plus très clair du coup.

Je souhaiterais éviter les confusions dans les esprits des experts anti-virus.

[igor51]

Bonsoir

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Pour une aide visuelle, n'hésite pas à lire ce tutorial : Aide pour Combofix

[invite5546a17c]

Bonjour Igor51,

Voilà, j'ai exécuté ComboFix...mais à partir d'une clé USB. Pourquoi? Je rappelle qu'il m'est impossible de déplacer ou copier des fichiers sur le bureau (ainsi qu'à tout autre endroit sur le disque dur).

Je n'ai également plus de connexion Internet.

Par conséquent, à partir d'un autre ordinateur j'ai copié ComboFix.exe sur une clé USB pour pouvoir lancer son exécution. Je me suis dit qu'il valait mieux cela plutôt que rien du tout.
Et pour information, il m'a été impossible de créer une console de récupération Windows en glissant le fichier spécifique Windows sur l'icône de ComboFix (je ne peux ni déplacer ni glisser les fichiers).

Un fichier log a été généré. Et j'ai fait un nouveau HijackThis. Tu les trouveras en pièces jointes.

Merci beaucoup pour ton aide.

[invite5546a17c]

Problème résolu!

Problème :
O23 - Service: Error Reporting Service (ERSvc) - Unknown owner - C:\WINDOWS\System32\svchost.ex e (file missing)

En fait, "svchost.exe" a été supprimé sûrement par Avast! qui me l'a détecté.
C'est un fichier légitime de Windows ce qui fait que ma connexion Internet ne fonctionnait plus.

C'est un petit faux positif d'Avast! sur C:\Windows\system32\svchost.ex e détecté en Win32:Rootkit-gen[Rtk].

Pour rappel :
C:\Windows\system32\svchost.ex e est un fichier légitime Windows.
Dans un autre répertoire, c'est très certainement un malware ex : c:\Windows\svchost.exe

Un faux positif est une erreur de détection, une menace détectée dans un fichier légitime.

Pour résoudre le problème :
Le fichier svchost.exe est un fichier système important. La suppression de ce fichier aboutit à une perte de fonctionnalité de système. Cependant, s’il est supprimé, le système peut être restauré en suivant les instructions ci-dessous :

- En utilisant un autre ordinateur, télécharger et dézipper le fichier fix_svchost_fr.zip puis enregistrer les fichiers copyfile.bat, svchost.exe et regfix.reg contenus dans le dossier (fix_svchost_fr) dézippé sur un support amovible (exemple : clé USB, CD réinscriptible etc…)

Version française ici: fix_svchost_fr.zip

- Démarrer l’ordinateur défectueux et insérer le support amovible

- Ouvrir le dossier contenant les fichiers téléchargés

- Double-cliquer sur le fichier 'copyfile.bat' pour l’exécuter

- double-cliquer sur le fichier 'regfix.reg'

- Cliquer sur 'Oui' pour confirmer l’opération

- Redémarrer l’ordinateur et le système devrait être restauré avec les réglages de base.

Si jamais Windows n’arrive pas à traiter le fichier regfix.reg, essayer de l’importer dans le registre à l’aide de l’Editeur de registre. Pour le faire, suivre ces étapes:

* Cliquer sur Démarrer -> Exécuter

* Taper Regedit et cliquer sur OK. L’éditeur du registre va se lancer.

* Dans l’Editeur du registre cliquer sur le menu Fichier -> Importer

* Retrouvez le fichier regfix.reg, sélectionnez le et cliquez sur Ouvrir

* Cliquer sur OK, redémarrer le système, et on peut procéder aux autres étapes de la réparation.

Encore un grand merci pour ton aide Igor51.

Très cordialement.