Elitum.elitebar

ornyx · Mars 27, 2005, 11:13

JE suis infecté par le trojan elitum.elitebar il est détecter par spybot mais spybot n’arrive pas à le supprimer que dois je faire?

RASpoutine_1_1 · Mars 28, 2005, 1:37

Essaye de lancer spybot avec windows en mode sans échec.
Vérifie s’il y a des mises à jour.
Et éventuellement passe à un autre navigateur moins susceptible d’être infecté (Opera, Mozilla ou Firefox pour ne citer qu’eux)

Keeper · Mars 28, 2005, 1:47

+1

si necessaire un .log HijackThis 1.99.1
avec la dernierre version(EliteToolbar\SP2f*cked-) voici les entrées du .log

[fixed]O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\system32\boln.dll
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\system32\boln.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\boln.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O4 - HKLM…\Run: [Systems Restart] Rundll32.exe boln.dll, DllRegisterServer
O4 - HKLM…\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM…\Run: [Windows Service] C:\WINDOWS\system32\dddd.exe
O4 - HKCU…\Run: [Windows Service] C:\WINDOWS\system32\dddd.exe
O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: *.admin2cash.biz
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bettersearch.biz
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.f1organizer.com
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.private-dialer.biz
O15 - Trusted Zone: *.private-iframe.biz
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.f**k.biz
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.vse-moe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com[/fixed]

à supprimer

ornyx · Mars 28, 2005, 12:43

Je suis infecté par elitum.elitebat et wget.trojana avec ma spybot sa donne leur emplacement dans les hkey_user et hkey_local_machine.

J’ai éssayé hijackis et j’obtient sa

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\fswsclds.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\Program Files\F-Secure Internet Security\backweb\7309581\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\PROGRA~1\F-SECU~1\backweb\7309581\Program\SERVIC~1.EXE
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure Internet Security\backweb\7309581\Program\BackWeb-7309581.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Documents and Settings\ARE NA\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM…\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM…\Run: [F-Secure Manager] “C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE” /splash
O4 - HKLM…\Run: [F-Secure TNB] “C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe” /CHECKALL
O4 - HKLM…\Run: [newsfeed12] C:\WINDOWS\newsd.exe
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [fesyhf] C:\WINDOWS\system32\kvscnr.exe
O4 - HKLM…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM…\RunServices: [System] mah.exe
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [System] mah.exe
O4 - HKCU…\Run: [fesyhf] C:\WINDOWS\system32\kvscnr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110653281905
O23 - Service: F-Secure Internet Security 2004 (BackWeb Client - 7309581) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\7309581\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\7309581\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\fswsclds.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Que faut il faire?

westernunion · Mars 28, 2005, 1:25

*ferme TOUS les programmes
*fixe les lignes trouvées dans l’hijack (coche chaque case & Fix Checked)
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille

O4 - HKLM…\Run: [newsfeed12] C:\WINDOWS\newsd.exe
O4 - HKLM…\Run: [fesyhf] C:\WINDOWS\system32\kvscnr.exe
O4 - HKCU…\Run: [System] mah.exe
O4 - HKCU…\Run: [fesyhf] C:\WINDOWS\system32\kvscnr.exe

après les fix assûre-toi que ces fichiers (xxx.exeS en gras) ne soient plus présents dans ta machine et supprime-les :

C:[u]WINDOWS<–situé ici[/u] supprime :—> newsd.exe
C:\WINDOWS[u]system32<–situé ici[/u]supprime : —>kvscnr.exe
[System] supprime : —> mah.exe (voir dans C:\WINDOWS\system)

Faire

1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

2) affiche les dossiers cachés :
Clique sur “Démarrer” >> “Panneau de Configuration” >> “Options des Dossiers”
Clique sur l’onglet “Affichage”>> Dans la liste des “Paramètre avancés”, sous la rubrique “Fichiers et dossiers cachés”>>[!coche!] “Afficher les fichiers et dossiers cachés”
Pour afficher les autres fichiers cachés>>[!décoche!] la case “Masquer les fichiers protégés du système d’exploitation” *

3) passe en mode sans échec : (préférable mais ça peut marcher en mode normal aussi)
donne des impulsions rapides dès l’allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php

4) recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32—> supprime : [xxxxxx].exe

5) redémarre en mode normal - vide ton cache internet (C:\Documents and Settings\NomUtilisateur\Local Settings\Temporary Internet Files
/ou/options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)

6) réactive ta restauration système

ornyx · Mars 28, 2005, 3:20

Je coche toute les cases ou juste O4 - HKLM…\Run: [newsfeed12] C:\WINDOWS\newsd.exe
O4 - HKLM…\Run: [fesyhf] C:\WINDOWS\system32\kvscnr.exe
O4 - HKCU…\Run: [System] mah.exe
O4 - HKCU…\Run: [fesyhf] C:\WINDOWS\system32\kvscnr.exe
??

ornyx · Mars 28, 2005, 3:22

Je veut dire je coche tout se qua trouvé hijackis ou juste se que tu site en gras?

westernunion · Mars 28, 2005, 3:30

ça!
O4 - HKLM…\Run: [newsfeed12] C:\WINDOWS\newsd.exe
O4 - HKLM…\Run: [fesyhf] C:\WINDOWS\system32\kvscnr.exe
O4 - HKCU…\Run: [System] mah.exe
O4 - HKCU…\Run: [fesyhf] C:\WINDOWS\system32\kvscnr.exe

les [fichiers].exe en gras sont à rechercher et supprimer si encore présents…

c’est pas clair : "après les fix assûre-toi que ces fichiers (xxx.exeS en gras) ne soient plus présents dans ta machine et supprime-les : "

ornyx · Mars 28, 2005, 5:37

quand tu dit ‘’[xxxxxx].exe’’ tu parle de mah,newsd etcc?

ornyx · Mars 28, 2005, 6:43

J’ai fait les manip mais les 2 trojan sont toujour présent sur mon pc ,spybot m’indique que où ils se trouvent : par exemple wget.trojan : hkey_local_machine\software\wget et dans une 2 eme clé de registre hkey_users\xxxxxx

elitebar: hkey_user\default\software\lQ
hkey_users\s-1-5-18_\software\lQ

JE pense que s’est dans les clé registre en question qu’il faut agir mais je ne sais pas quoi faire?

westernunion · Mars 28, 2005, 7:14

oinnn! je pensais parler français…[:merlot]

je repète le message plus haut :
après les fix assûre-toi que ces fichiers (xxx.exeS en gras) ne soient plus présents dans ta machine et supprime-les :

C:\WINDOWS<–situé ici supprime :—> newsd.exe
C:\WINDOWS\system32<–situé icisupprime : —> kvscnr.exe
[System] supprime : —> mah.exe (voir dans C:\WINDOWS\system)

oui! il faut supprimer les [xxxx].exe

hkey_users\s-1-5-18_\software\lQ <-- ?? ça veut rien dire ta localisation - tu dois te tromper

Spybot est à jour? essaye le scan en mode sans échec - dans le log, la présence d’EliteToolBar c’est le fichier mah.exe (coché et éliminé???les autres aussi??) -

devrait se trouver qq part ici dans la BdR : (évite d’y bidouiller si tu sais pas )
HKLM (HKey Local Machine) > Software > Microsoft > Windows > CurrentVersion > RunServices–> [mah.exe]

voir aussi dans c:\windows\system ou system32 - l’hijack devrait pouvoir virer tout ça + la suppression + la méthode de recherche et de suppression décrite plus haut …blablabla

si ça ne suffisait pas - as-tu essayé aussi avec Ad-aware SE?
http://www.lavasoftusa.com/software/adaware/

l’anti-spy béta de Microsoft ? (ché pas ce qu’il vaut vraiment)
http://www.microsoft.com/athome/security/spyware/software/default.mspx

ornyx · Mars 28, 2005, 7:47

J’ai fait tout se que ta dit mais tu ma dit de supprimer
O4 - HKCU…\Run: [System] mah.exe
mais ia aussi celui la
O4 - HKLM…\RunServices: [System] mah.exe j
e le supprime?
(J’ai bien trouvé les fichier newsd etcc il était au format Oxe. je les ai supprimé)la localisation s’est se que me montre spybot

westernunion · Mars 28, 2005, 8:02

oui! tu fixes 2 fois pour
O4 - HKLM…\RunServices: [System] mah.exe
O4 - HKCU…\Run: [System] mah.exe

tu le trouves 2 fois aussi en recherche de fichiers? il a l’air de s’être répliqué en HKLM & HKCU

fait le reste des suppressions et refait un nouveau log ensuite pour voir si le problème persiste

ornyx · Mars 31, 2005, 10:57

Quand je scann avec spybot sa le detecte toujours rt j’ai aussi un autre probleme j’ai remarqué qu’apés avoir désinstaller spybot mon pc se met à planter au démarrage et si au démarage je désactive la liaison internet sa ne plante pas et apres je la réactive et sa ne plante tjr pas mais quand elle est activé au démarrage plantage à tout les coup