Malware non identifié pokapokaXX.exe, j'arrive pas à le virer =/

Malware non identifié pokapokaXX.exe, j'arrive pas à le virer =/ - Sécurité - Windows & Software

Marsh Posté le 28-09-2005 à 00:14:30    

Salut à tous.
J'ai choppé ce truc je ne sais comment vu que ce n'est pas moi qui utilisais le pc pendant 2 semaines, toujours est-il qu'en revenant j'ai trouvé des pop up qui sortaient tous seuls.
Bref donc le fichier s'appelle pokapoka68 ou 69 ou 70 ou 72 .exe, il a une particularité étonnante de se placer dans le dossier c:\windows\etb\ et de cacher tous les fichiers du systèmes nommés pokapoka*.*
Quand je dis caché, si je vois les fichiers systèmes et cachés, lui je ne le vois toujours pas, si je renomme test.txt en pokapoka.txt, il disparait aussi. Malgré tout si je retente l'opération, notepad me dit que le fichier existe déjà donc il est toujours là...
Le problème c'est que dans le gestionnaire de tâches il est tout aussi furtif, on ne peut pas virer le fichier en ligne de commande car il est utilisé, et il régénères ses entrées dans la base de registre au fur et à mesure qu'on les supprime...
J'ai passé 3 antivirus différents (trend officescan, norton corporate, et antivir), ils ne voient rien de suspect, idem pour adaware, spybot, et hijackthis (enfin lui il voit les entrées du registre mais ça se régénère quand même...)
En cherchant sur google je n'ai trouvé que peu d'infos
Help ?

Reply

Marsh Posté le 28-09-2005 à 00:14:30   

Reply

Marsh Posté le 28-09-2005 à 00:16:52    

tout en me relisant je viens de trouver au fin fond d'un forum qu'il s'agit d'un composant de EliteBar...
effectivement c:\windows\etb ça peut ressembler, pis j'avais po vu mais ya un nthide.dll dans ce dossier :o

Reply

Marsh Posté le 28-09-2005 à 12:12:27    

Essaie de supprimer la barre via « ajout/suppressions de programmes » :
cherche ces lignes-là :
Elite toolbar  
Elite
ou similaire... ;)  
Ensuite, supprime ce dossier :
c:\windows\etb

Reply

Marsh Posté le 28-09-2005 à 13:02:36    

nan justement, dans ajout / suppression de programmes, ya rien
ce que j'ai réussi à faire c'est modifier la clé de registre dans run pour qu'elle lance fuckyou.exe (qui n'existe pas) à la place de pokapoka62.exe
Ensuite j'ai supprimé le contenu de etb et j'ai mis un refus explicite pour le groupe tout le monde sur le dossier.
Apparemment ça se lance plus...

Reply

Marsh Posté le 28-09-2005 à 13:49:53    

Tu peux poster un rapport HijackThis pour voir quelle est l'état du PC ?

Reply

Marsh Posté le 28-09-2005 à 14:02:05    

je suis au boulot là mais je poste ça ce soir
ceci dit je pense qu'il est propre le pc maintenant, hormis ptet un logiciel qui n'a pas droit de citer ici [:rosebud]

Reply

Marsh Posté le 28-09-2005 à 20:30:59    

Antivir n'a rien vu ??
moi j'avais choppé cette saloperie de pokapoka et antivir Xp l'a clairement identifié.
Ensuite c vrai que pour le virer définitivement faut passer par Hijack.

Reply

Marsh Posté le 28-09-2005 à 20:45:27    

Bonsoir télécharge miekiemoes' LQfix:
http://www.downloads.subratam.org/LQfix.zip  
Dézippe le sur le bureau
 
Démarre en mode sans échec
 
Lance LQfix
 
Redémarre normalement et dis ce qu'il en est
 

Reply

Marsh Posté le 28-09-2005 à 21:14:30    

Logfile of HijackThis v1.99.1
Scan saved at 21:14:51, on 28/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\CK\Bureau\Utils\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?pr [...] dded=false
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.*;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Voila - http://chat9.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 1533918921
O17 - HKLM\System\CCS\Services\Tcpip\..\{A950D5C1-A428-4130-B323-5B75CDF1ABED}: NameServer = 212.27.32.5,213.228.0.168
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
 

Reply

Marsh Posté le 28-09-2005 à 21:16:02    

merci pour ta soluce stonangel je connaissais pas ce prog
ceci dit je l'ai pas utilisé car log hijackthis à l'appui je crois que mon pc est déjà nettoyé (à la main -_-)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed