[En Cours] [R�solu] Scan en ligne impossible ?

Derni�re �dition par Platane le Ven Oct 28, 2005 12:43; �dit� 3 fois

Mon anti-virus m'a d�couvert apr�s un scan le virus : Troj_Bagle.bi
The_taxation.zip\taxes.exe
dans le dossier : windows\temp\MXAVX4\taxes.exe
il n'arrive pas � l'effacer.
J'ai regard� dans le dossier windows\temp ... il n'y a rien ??
j'ai cherch� sur le site de symantec, ils ne connaissent pas.

J'ai essay� de faire un scan en ligne avec :
http://secuser.com/index.htm
http://www.pandasoftware.com/products/activescan.htm

et tous les deux bloquent que ce soit avec firefox ou internet explorer,
IE me dit qu'il faut installer le contr�le Activex, ce que j'essaye de faire, et il me dit encore avec secuser.com :
"Either your browser does not support the object element or an error occurred while downloading the object. Unable to load the HouseCall ActiveX control."
Panda ouvre une fen�tre 1/2 sec puis la referme lol

... une id�e ?
je vais aussi faire une recherche google, mais pourquoi ne puis-je pas scanner mon dd en ligne ??

EDIT :

j'ai trouv� �a :
Troyen
Tooso.L
Tooso.L est un programme malicieux de type cheval de Troie envoy� massivement par spamming aux internautes. Il se pr�sente sous la forme d'un courrier �lectronique dont l'objet et le corps sont vides, accompagn� d'un fichier joint avec une extension .RAR ou .ZIP (18 Ko) sur le th�me des imp�ts ("taxes"). Si ce fichier est ex�cut�, il tente de d�sactiver ou supprimer les principaux antivirus et pare-feux personnels, puis tente de t�l�charger et d'ex�cuter une variante du virus Bagle depuis une liste de sites distants.

PREVENTION :
Les utilisateurs concern�s doivent mettre � jour leur antivirus. D'une mani�re g�n�rale, m�me si son nom est attrayant il ne faut pas ex�cuter un fichier joint douteux sans avoir fait confirmer son envoi par l'exp�diteur du message.

DESINFECTION :
Avant de commencer la d�sinfection, il est imp�ratif de s'assurer avoir appliqu� les mesures pr�ventives ci-dessus afin d'emp�cher toute r�infection de l'ordinateur par le troyen. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'antivirus gratuit en ligne pour rechercher et �liminer le troyen.

sur secuser.com

bizarre, car je ne clique jamais (!) sur des pi�ces jointes douteuses ! Mouarf.

EDIT :

mais ils ne proposent pas de mode de d�sinfection autre que le scan en ligne (et la MAJ des ant-virus), donc ... ?

Post� le: Mar Oct 25, 2005 12:31 Sujet du message:

Salut Platane

As tu regard� dans le processus (ctrl+alt+suppr) si tu n'as pas un "taxes.exe" qui tourne?
Si oui clic droit , terminer le processus.
Verifies si dans ton dossier "windows/temp ...." tu n'as pas de fichiers cach�s
en haut du poste de travail => outils => optiion des dossiers => affichage => decoches "masquer les fichiers cach�s"
et regardes a nouveau dans windows/temp .... , si tu le vois ^^
bon courrage
@++
bibi

Post� le: Mar Oct 25, 2005 12:42 Sujet du message:

merci titine

alors j'ai :
- qttask.exe
- taskmgr.exe
- MXTask.exe
qui tournent, mais je crois qu'il ne s'agit pas de �a, il me semble que ceux-ci sont habituels

et je n'ai rien trouv� en affichant les fichiers cach�s (bonne id�e qd mm lol !) : le dossier Temp reste toujours vide, et il ne trouve pas de "taxes" ou "taxation" dans le dossier Windows ... :-?

Post� le: Mar Oct 25, 2005 20:40 Sujet du message:

bon ... je remet ma question premi�re :

J'ai essay� de faire un scan en ligne avec :
http://secuser.com/index.htm
http://www.pandasoftware.com/products/activescan.htm

et tous les deux bloquent que ce soit avec firefox ou internet explorer,
IE me dit qu'il faut installer le contr�le Activex, ce que j'essaye de faire, et il me dit encore avec secuser.com :
"Either your browser does not support the object element or an error occurred while downloading the object. Unable to load the HouseCall ActiveX control."
Panda ouvre une fen�tre 1/2 sec puis la referme lol

Qu'est-ce que c'est que ce contr�le Activex , et pourquoi ne puis-je pas utiliser le scan en ligne ??
... une id�e ?

Post� le: Mar Oct 25, 2005 20:57 Sujet du message:

salut platane
essaies ceci :

Killbox

T�l�chargement :

http://www.downloads.subratam.org/KillBox.zip
http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Ce petit utilitaire permet entre autres choses de se d�barrasser de fichiers qui reviennent syst�matiquement et que l'on ne peut effacer car ils sont actifs... �a arrive souvent avec certaines dll spywares impossibles � d�charger de la m�moire, m�me avec des programmes comme unlocker (blog) ou coppylock

Post� le: Mar Oct 25, 2005 21:05 Sujet du message:

merci keskia, mais ... malheureusement je n'arrive pas � trouver le fichier en question comme je le marque plus haut : mon anti-virus me dit qu'il existe, mais moi je ne le vois pas

Post� le: Jeu Oct 27, 2005 00:40 Sujet du message:

Bon, un petit coup d'HijackThis, comme les copains...

Pour le t�l�charger : http://80.237.140.193/downloads/hijackthis_199.zip
Pour interpr�ter ses r�sultats : http://www.hijackthis.de/fr

Eventuellement tu nous colles le log d'HJT si tu as des doutes sur les corrections � apporter.

Post� le: Jeu Oct 27, 2005 08:39 Sujet du message:

merci keyser, je ne connaissais pas ce log, mais on dirait que tout est ok, j'ai juste �a, je ne sais pas ce que c'est, mais �a ne para�t pas m�chant.

O17 - HKLM\System\CCS\Services\Tcpip\..\{B848C50A-55EC-472D-ACB4-64E12161A424}: NameServer = xxx.xxx.x.xx,xxx.xx.xx.x
Eventuellement m�chant
Effacer cette inscription si le domaine n�appartient pas � l�ISP ou � un r�seau qui vous est connu. Il en est de m�me pour les inscriptions du type 'SearchList'.
Currently there is no visitors rating!
Effacer si l�IP ou le domaine 'xxx.xxx.x.xx,xxx.xx.xx.x' ne vous est pas connu.

Je pense que le virus trouv� l'a �t� dans une archive (?), que celle-ci ne s'est pas forc�ment d�clench�e (?)

Enfin on dirait qu'il n'y a pas d'application louche.

toujours est-il que :
1) je n'arrive pas � trouver "The_taxation.zip\taxes.exe"
2) je ne peux pas faire de scan en ligne (ni avec IE ni avec Firefox)
:evil:

Post� le: Jeu Oct 27, 2005 09:40 Sujet du message:

N'efface pas �a... ce sont les DNS primaire et secondaire de ton FAI.

1) S'il ne le trouve pas c'est qu'il a d� le supprimer. Tout d�pend des r�glages d�finis au niveau de ton AV pour l'action � entreprendre lorsqu'il d�couvre une infection virale.

2) Si tu ne peux pas faire de scan en ligne, c'est � cause de ton pare feu (modem ou logiciel) et/ou d'un mapping de ports non satisfaisant pour les dits scans.

Post� le: Jeu Oct 27, 2005 10:12 Sujet du message:

merci pour la r�ponse, donc je n'efface pas,

1) mon anti-virus/pare-feu est SystemSuite5, et c'est en faisant le scan de l'ordi avec lui qu'il m'a signal� ce virus. Il n'a pas pu l'effacer, et ne m'a pas dit la raison. Et il est encore sur l'ordi (bien que je ne le "voie" pas), car en repassant le scan il le trouve encore.

2) j'ai essay� de faire les scans en ligne avec :

http://secuser.com/outils/index.htm
http://www.pandasoftware.com/products/activescan.htm
http://fr.trendmicro-europe.com/consumer/housecall/

pareil, �a ne fonctionne pas.
Pour le mapping de ports, je ne sais pas comment voir ce qui bloque.

Post� le: Jeu Oct 27, 2005 12:06 Sujet du message:

article trouver sur zataz
je pense que ca ressemble pas mal a ce probleme platane

Mytob.KN, qui se r�pand par divers messages �lectroniques. Une fois install�, il se connecte � un serveur IRC afin de recevoir des commandes � distance.

Mytob.KN stoppe des process appartenant � diff�rents outils de s�curit�, comme des logiciels antivirus et firewalls, ainsi que des process d�autres malwares. Il emp�che �galement l�utilisateur du PC d�acc�der � certaines pages web, principalement celles des �diteurs antivirus. Sur les ordinateurs sous Windows XP Service Pack 2, il met hors service le firewall int�gr� dans ce syst�me d�exploitation.

Post� le: Jeu Oct 27, 2005 12:20 Sujet du message:

'ci kekia pour la r�ponse, j'ai le nom du virus :
Troj_Bagle.bi alias Tooso.L , dans la description ils disent qu'il cherche � d�sactiver anti-virus & pare-feu, mais je n'ai rien remarqu� de sp�cial de ce c�t� l�, tout fonctionne.
C'est vrai que je ne peux pas me connecter � un anti-virus en ligne, mais toutes les autres pages web fonctionnent bien.
A suivre ^^

Post� le: Ven Oct 28, 2005 12:42 Sujet du message:

Bon, d�j� j'ai r�ussi � effacer le .zip contenant le virus ... mon anti-virus me proposait de d�truire le virus automatiquement mais �a ne fonctionnait pas, et ailleurs il me proposait d'effacer simplement le fichier ... et �a a march�. Un scan suppl�mentaire ne me trouve plus rien (ouf !). J'explique cela par :