Forum Clubic

Trojan.Spy.HTML.BankFraud.DQ détécté

Salut a tous,

En analysant mon HD, BitDefender m’a trouvé le Trojan “Trojan.Spy.HTML.BankFraud.DQ”, et n’arrive ni a le désinfecter, ni a le mettre en quarantaine.

J’ai essaye de voir ce que donnait a-squared, il n’a rien vu.

A priori, je l’ai chopé dans un mail, il y en a 3 d’infectés (j’utilise Thunderbird).

Qlq1 a une idée pour me débarasser de ça??

Merci d’avance!!

déjà première chose à faire c’est sécuriser ton thunderbird, pour pas que tu te prenne un retour de flamme:

Outils > Options :
- rédaction > option d’expedition : convertir en texte simple (ca evite de te chopper une saloperie par html, genre un activex ou un java)
- avancé: //autoriser les images décocher
//ne jamais envoyer d’accuser de réception

ensuite, te reste plus qu’à se débarasser de ta vérole…

Plusieurs chemins mènent à Rome:
1- comme c’est un £%#& de TrojanSpy, (autres noms :stuck_out_tongue: : Phish-BankFraud.eml.a (McAfee), Trojan.Bankfraud (Doctor Web), HTML.Phishing.Bank-1 (ClamAV), HTML/Bankfraud.gen (Eset) première détection 12 Mars 2005), il faut opérer dans la BdR (Base de Registre)…

le repérer avec le http://www.secuser.com/outils/antivirus.htm

puis :

http://support.microsoft.com/?id=833786

par contre, bitdefender, à ce que je suis en train de lire sur le net, le détecte, mais ne peut pas le supprimer…

voir avec un avast ou peut-être a-squared, qui sais, répond. merci :wink:

en plus , le plus pénible c’est que c’est une variante de agaobot, et il est PENIBLE ce fichtre trojan! :heink:

essaye “Spybot - search & Destroy 1.3” qui semblerait-il agirait sur ce troyen-là… (attends je continue…)

Salut,

Après avoir installé SpyBot, il ne l’a pas détecté.
Je sais exactement ou il est (Bit Defender m’a donné le chemin d’accès), mais impossible de virer ce satané Trojan…

A-squared n’a rien donné non plus.

Arghhhhhhhhhhh

Il est sans doute aussi a un endroit qui le relancera une fois supprime.
Essie de le faire en sans echec.
S’il revient fais un scan complet avec HijackThis. Il detecte par exemple about:blank qui n’est detecte par aucun antispyware.
HijackThis n’est pas automatique, il liste tout ce qui pourrait eventuellement etre anormal mais a toi de supprimer manuellement en suivant le howto.
dangereux d’utiliser ça au pif. Exactement comme bidouiller le registre sans savoir.

Voici le Log de HiJackThis :

Logfile of HijackThis v1.99.1
Scan saved at 13:50:03, on 28/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\program files\softwin\bitdefender8\bdnagent.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\OpenOffice.org1.1.4\program\OOoVirgTray.exe
C:\Palm\HOTSYNC.EXE
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\David VERNET\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.ca/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/Mon Nom/Mes%20documents/Internet/Tableau%20Accueil/Bureau.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.ca/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dell.ca/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM…\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM…\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM…\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM…\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM…\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM…\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM…\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM…\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM…\Run: [DVDLauncher] “C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe”
O4 - HKLM…\Run: [AdaptecDirectCD] “C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe”
O4 - HKLM…\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM…\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
O4 - HKLM…\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU…\Run: [PathOOOvirg] C:\Program Files\OpenOffice.org1.1.4\program\OOoVirgTray.exe
O4 - HKCU…\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - HKCU…\Run: [Steam] C:\Program Files\Valve\Steam\Steam.exe -silent
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PowerReg Scheduler.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip…{C68ADE3C-BFEB-4303-9182-D4B521B21C0D}: NameServer = 194.2.0.50,154.15.252.138
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Que faire?

merci!

tout ca … je suis pas très fan… sinon si t’as XP tu fais un msconfig dans démarage tu décoche tout … ( déjà ca sert à rien … SAUF si t’as un portable (le hkcmd mindique que tu as du hotkey donc un clavier chelou (pas ordinaire152touches), mais je pense pas que ce soit un portable …

secondo, vire tout ce qu’il y a dans c:\windows\prefetch

c’est de la £%µ#~& de cochonnerie ce repertoire… (liste des batch “.bat” correspondants aux .exe qui se sont lancés sur ton pc)

tertio, look t’es clé run , run- , runonce, runservices, runservice, etc… dans regedit (démarrer>éxecuter>regedit … [ENTER] )

puis look dans hkey_local_machine > software > microsoft > windows > currentversion > run etc…

les clés qui te semblent vraiment pas correspondre à ton hijack tu delete, … regarde si t’as pas un “internat.exe” quelque part ( en faisant rechercher dans regedit puis F3 pour suivant && dans ton c:\ d:\ )

et look les clés aussi dans …

HK_current_users > software > microsoft > windows > currentversion > run etc…

euh…

HK_USERS > par contre là il faut selectionner la bonne S-ID, c’est à dire la clé qui correspond à ton ou tes login sous windows…

toutes les clés commençant par s-1-5-XXXXXXXXXX tu entre dedans et si tu retrouve l’arborescence que l’on à parcouru audessus tu regarde ! :stuck_out_tongue:

après ca tu me dis… sinon on cherchera où cette vérole se dissimule pour changer de nom etc…

vire aussi msnplus si tu l’as quelque part… (c’est une noise ce truc… je sais pas pourquoi ils l’ont créer les 'ti gars ^^ )