2 troyen et 1 virus ?

05/02-2005 à 11:00Bonjour à tous
Mon PC devenant quelque peu lent, ce matin je passe Secuse. Il trouve ceci :

le troyen RANKY.AS ou Troyen MANG-C est relatif à Java updated 07 ce que j'ai découveret en allant dans etez.exe


Comme cette fenêtre de Spybot indique une modification de la BdR, je passe Spybot immédiatement....qui me félicite de n'avoir trouvé aucun mouchard !
Le troyen SMALL.KP se trouvant dans C:\bla.exe, je vois une petite application de 4ko
Qant à HTML.MHTREDIR dans documents setting, je ne l'ai pas trouvée pas plus que d'indication sur sa nature...un virus, je n'en sais rien.

Ces trois bestioles étant non cleanable, je ne sais comment m'en débarraser.
Si vous vouliez bien m'aider, je vous en aurais une grande reconnaissance
Merci par avance

----------

http://aquali.blogspot.com/

05/02-2005 à 11:27Juste en passant, j'allais me déconnecter.
Exploit.HTML.Mht

Aliases
Exploit.HTML.Mht (Kaspersky Lab) is also known as: Exploit-MhtRedir.gen (McAfee), Exploit:HTML/MhtRedir.gen* (RAV), HTML/Exploit.Mhtml (H+BEDV), Exploit.HTML.MHTRedir.1n (ClamAV), Exploit/Mhtredir.gen (Panda)
c'est un exploit qui utilise une faille d'IE.
Tu as aussi le Trojan.Downloader.Small.KP, http://forum.touslesdrivers.com/reponses.php?v_code=5&v_message=408322&v_pr=1
je file chercher ma fille au lycée.
as-tu scanné ton pc avec a squared(a²) de Emisoft? Il est assez performant pour ces saletés.

05/02-2005 à 12:42J'ai chargé a2
Il a trouvé ceci: est-ce que je peux les effacer sans problème...ça me semble trop beau?
[URL=http://img211.exs.cx/my.php?loc=img211&image=screenshot0044lp.jpg][/URL]

----------

http://aquali.blogspot.com/

05/02-2005 à 12:59j'ai eu egalement des virus que norton ne pouvait virer. Vu que mes fichiers infectes etaient eux-meme les virus, j'aui voulu les effcaer :
- Si tu supprimes directement et qu'il refuse, une astuce : appuie sur "shift"+"suppr". Le fichier s'effacera definitivement (tu ne pourras pas le recuperer meme dans la corbeille.
- Si c'est un fichier dont tu connais son utilité et que tu ne veux pas le supprimer reste a2. J'ai eu recours une fois a cet anti-virus et il est tres efficace !!!! Vas-y don !

05/02-2005 à 13:22merci Yanba.
C'est ce que j'ai fait : a2 a supprimé les deux troyens
Grâce te soit rendue, cher Grolou
il me reste Exploit.HTML.MHTR j'(ai pourtant patché conciencieusement cette saleté d'IE)
on l'enlève comment, celui-là ?
A quoi servent Spybot et Ad-aware ? A rien ?
merci encore, merci

----------

http://aquali.blogspot.com/

05/02-2005 à 13:40Effectivement, c'est un patch de windows qui peut te proteger. Pour effacer, regarde sur cette adresse : c'est pas exactement le meme virus mais c'est son frere ou sa soeur (j'ai pas pu voir son sexe !!!) : http://www.commentcamarche.net/forum/affich-1195572-Virus-Exploit-Html-Codebase-Exec-Gen. Ca devrait t'aider .... Si j'ai trouvé autre chose, je te reecrirai

05/02-2005 à 13:52Exploit.HTML.Mht = I-Worm.Bagle.z
telecharges fxbeagle :
http://www.secuser.com/telechargement/desinfection.htm#Bagle
et profites en pour un scan en ligne gratuit
http://www.secuser.com/outils/index.htm

slt

05/02-2005 à 14:49Je croyais que aé en avait enlevé 2
.Mais non, ils sont toujours là? Pourtant ils ont changé d'emplacement :

----------

http://aquali.blogspot.com/

05/02-2005 à 14:57http://www.sophos.fr/virusinfo/analyses/trojranckk.html
http://www.sophos.fr/virusinfo/analyses/trojsmallk.html
quand au 2°, tas toujours pas reussi a l'enlever ? a2, le fait pourtant ....

05/02-2005 à 15:16Je vien de passer a² à nouveau et effacet les 2 troyens ...du moins je l'espère.
Mais je n'ai pas désactiver la restauration...je crois que je n'ai plus qu'à recommencer ?

----------

http://aquali.blogspot.com/

05/02-2005 à 15:31moi perso, la restauration est toujours desactivée .... Je prefere prendre en charge mon ordi personnellement, pas confaincve a microsoft et a ses informaticiens du diamanche !

05/02-2005 à 15:51Tu n'as pas tort. Mais comme je ne suis pas assez calée pour réparer toutes les bêtises que je peux faire, je garde la restor.
Cette fois-ci, il semble que mes 2 troyens aient disparu.
Reste le 3éme...

----------

http://aquali.blogspot.com/

05/02-2005 à 16:05C'est quand meme extraordinaire que t'arrives pas a l'enlever .... T'as le virus Bagle.
Si malgré ce que je t'ai dit en haut tu n'y arrives pas, telecharge sur http://vil.nai.com/vil/stinger/
Prends Stinger.exe mets le sur ton bureau. .Désactives la restauration système. Redémarres en mode sans échec. Fais lancer le fichier stinger. Vider cookies, fichiers TEMP, et temporary internet files. On va essayer comme ca, peut-etre que cette fois ci ca va marcher !

05/02-2005 à 16:13Je viens de passer Stinger. Il m'a rien dit : ni oui ni non.
J'avais désactivé la restauration, cette fois. Mais je n'ai pas démarrer en mode sans échec.. Quant u aux fichiers tempporary, Temp etc.;ils sont vidés à chaque fin de session.
Je vais repasser Secuser pour savoir ce qu'il en est.
merci pour ton aide précieuse, yanba. T'es vraiment sympa.

----------

http://aquali.blogspot.com/

05/02-2005 à 16:32Je refais un tour de Secuser, pour vérifier. Tous mes ports sont bloqués et invisibles...je crois qu'on y est arrive! je croise les doigts.s

----------

http://aquali.blogspot.com/

05/02-2005 à 17:01non, il reste toujours HTML.MHTREDIR.AD
Comme ça m'agaçait je l'ai supprime dans Secuser. On verra bien ce que cela donnera... [°)]

----------

http://aquali.blogspot.com/

05/02-2005 à 18:44Toujours désactiver, temporairement, la restauration système pour tout nettoyage de bêbête. Sinon elles s'y logent pour revenir sans fin.
Ton troyen est brièvement décrit ici http://www.f-secure.com/v-descs/exp_mht.shtml
De toute façon, tant que tu n'utilises pas IE il ne peut rien faire. Il utilise la fonction d'update de windows.
D'après Sophos http://www.sophos.com/virusinfo/analyses/index_e.html il est lié au troyen Troj/Psyme-AG qu'il charge sur le pc quand tu es connectée (c'est un downloader, il fait son travail).
Pour localiser quel est le programme sous le nom duquel il se cache, si tu as chargé le second troyen, essaie ça: démarrer/ exécuter/ tu tapes mthtml://localhost +touche "entrée". http://www.zonavirus.com/Detalle_Noticia.asp?noticia=465
Je te rappelle que, comme tout "exploit", il s'agit en fait d'une vulnérabilité intrinséque à IE, que M$ n'a toujours pas réglée en l'occurence.
Enfin, ta saisie d'écran semble indiquer où est cachée la Bête, fais un scan de ce fichier (C:\Documents and Settings\JEA etc) chez Kasparsky http://www.kaspersky.com/remoteviruschk.html

05/02-2005 à 19:09J'ai passé a², Stinger,Spybot, Ad-Aware, re- -repassé Secuser qui me dit : congratulations tout va bien
. Il semble donc que mon PC soit débarrasé de ces 3 intrus.
Est-ce que je peux le croire, Grolou ?

----------

http://aquali.blogspot.com/

06/02-2005 à 00:17Je pense que tu peux dormir avec la satisfaction d'avoir vaincu l'adversité.
si en plus tu as exécuté la commande mthtml://localhost et que tu as eu une réponse selon laquelle le pc ne comporte aucun programme enregistré et que la commande est impossible à exécuter, c'est tout bon.

06/02-2005 à 08:38Bonjour,

Il ne reste plus à Dame Aquali,qu'à offrir à son cher PC,un bon anti-virus,et pourquoi pas,luxe suprême ,un pare-feu.. [°)]

----------
"On ne devrait jamais quitter Montauban"..