Aller au contenu

Le Virus Trojan.simcss !


BZHcool

Sujets conseillés

merci

pour les 2 premières, pas de soucis :

en fait, c'est mon abrutti de traducteur (je suis au kasakhstan en ce moment) qui est allé sur des site des culs (francais, parait que c'est plus sofistiqué) et qui m'a ramener cette saloperie de instant access ... du coup, pour bien qu'on se comprenne, j'ai créer une page WEB (locale) au démarrage d'IE affichant en gros, gras et rouge "PLEASE NO VIRTUAL SEX ON THIS COMPUTER"

bref, c'est pas méchant

pour la 3eme trace que tu sites, je vais voir ..

sinon, je viens de me refaire un cycle complet des scans, en virant tout

dans le HiJAck, j'ai reperer 3 lig.ne plus que suspects à mes yeux :

O16 - DPF: {1604DF98-D1A5-44FE-844A-98D6FD0518D0} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1060_XP.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/s...svc32_EN_XP.cab

O16 - DPF: {FA83E942-B796-46DE-9155-1632ECC5473B} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1061_XP.cab

(pour moi EDGACCESS_xxxx.dll est accossiée à instant access)

j'en ai fais du HiJack-parmentier ;)

j'ai egalement virer toutes les references à ces 2 dll dans ma base de registre

et comme je ne trouve pas ces dll dans mon system, je m'apprete a telecharger les 2 exe sité dans l'article et les virer si je les trouve (surement du 16bits)

bon, je bourrine pas mal, mais ca commence à me les briser menu

une autre chose qui me chagrine dans le HiJack, c'est :

MSIE: Unable to get Internet Explorer version!

comme je l'ai écris plus haut, j'avais esseyé de le désinstanller et y avait un libellé bizarre (je ne l'ai pas noté) sur sa procedure de désinstall

maintenant il n'apparait plus dans le désinstallateur, mais est tjrs là

je me demande s'il n'est pas infecté

est ce possible ?? que faire ??

merci beaucoup en tout cas ;)

Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 91
  • Créé
  • Dernière réponse

Contributeurs actifs dans ce sujet

Contributeurs actifs dans ce sujet

bon, bein pas de dll 16 bits ... tant mieux

je vais éviter de toucher IE et refaire un scan total d'ici 2/3 jours

et si tout va bien, je relancerai IE pour valider que IE ai été ou non infecter directement

en tout cas, merci bien pour l'aide trouvé sur ce site

dire qu'il y a 5 jours je ne connaissais meme pas l'existance des spywares ... et maintenant je les tues et meme j'en installe volontairement pour espionner mon interprete ;)

Lien vers le commentaire
Partager sur d’autres sites

dire qu'il y a 5 jours je ne connaissais meme pas l'existance des spywares ... et maintenant je les tues et meme j'en installe volontairement pour espionner mon interprete ;)

:lol:

Tu peux probablement aller sur le site de Microsoft en lançant "Windows Update".

Cela te mettra peut-être une nouvelle version de I.E. ... si tu n'as pas fait de mise à jour depuis longtemps.

Lien vers le commentaire
Partager sur d’autres sites

mon windows update service est unavailable :(

sur le site j'ai esseyé de télécharger IE6, mais en l'installant il me dit qu'une version plusrecente est déjà installée et donc je n'ai pas le droit de l'installer :(

je pense que je ferai le check decrit ci dessus pour etre sur pis on verra

Lien vers le commentaire
Partager sur d’autres sites

  • 2 months later...

Je viens de découvrir ce site super en cherchant instant access, car ça faity pas mal de temps qu'il squatte mon ordinateur ...

J'ai AVG free edition, qui me trouve à chaque ananlyse au moins 10 fichiers dans inter temporary file ( 5 fichier *.dll et 5 fichier *.cab et tous des egdaccess_XP_2014 ou a peu pres), et spybot me trouvé instant access, et magic control agent, et MFC application :

Connect MFC application :

- C:\Program Files\Instant Access\

- HKEY_USERS\S-1-5-21-842925246-113007714-725345543-1004\Software\EGDHTML

et les autres je sé plus, alors je vais suivre ce que vous avez dit au debut, avec en mode sans echec, mais je viens vous demander quelquechose, quand je fais msconfig il y a demarrage et rundll32 de coché, et comme commandes : rundll32.exe EGACCESS_1063,InstantAccess

Voilà, et faut il decocher ça aussi apres avoire mis en resauration système decochée ?

Lien vers le commentaire
Partager sur d’autres sites

Guest Crazy

Pour éradiquer les Trojan et autres saloperies de sa bécane, il y a un truc super :

SPYBOT (logiciel gratuit). Sa config de base est bonne pour une première utilisation. Ensuite on peut améliorer...

Pour le télécharger : http://www.spybot.info/fr/mirrors/index.html

Normalement, ça vire à peu près tout ! (lire la doc avant)

;)

Alain

Lien vers le commentaire
Partager sur d’autres sites

euh, j'ai téléchargé Dll compare comme dit dans un de vos articles et j'ai fait le log et je vais vous le mettre, :

* DLLCompare Log version(1.0.0.127)

Files Found that Windows does not See or cannot Access

*Not everything listed here means you are infected!

________________________________________________

C:\WINDOWS\SYSTEM32\cdplay~1.man Thu 8 Jul 2004 15:07:06 A..HR 749 0,73 K

C:\WINDOWS\SYSTEM32\cha×nes.scf Fri 30 Aug 2002 14:00:00 A.... 75 0,07 K

C:\WINDOWS\SYSTEM32\cmmgr32.gid Thu 22 Sep 2005 20:13:12 A..H. 8 628 8,43 K

C:\WINDOWS\SYSTEM32\logonu~1.man Thu 8 Jul 2004 15:07:12 A..HR 488 0,48 K

C:\WINDOWS\SYSTEM32\mscloc~1.dll Sun 9 Oct 2005 11:41:12 A.... 20 992 20,50 K

C:\WINDOWS\SYSTEM32\msploc~1.dll Wed 14 Sep 2005 21:05:36 A.... 20 992 20,50 K

C:\WINDOWS\SYSTEM32\ncpacp~1.man Thu 8 Jul 2004 15:07:06 A..HR 749 0,73 K

C:\WINDOWS\SYSTEM32\nwccpl~1.man Thu 8 Jul 2004 15:07:06 A..HR 749 0,73 K

C:\WINDOWS\SYSTEM32\sapicp~1.man Thu 8 Jul 2004 15:07:06 A..HR 749 0,73 K

C:\WINDOWS\SYSTEM32\window~1.man Thu 8 Jul 2004 15:07:12 A..HR 488 0,48 K

C:\WINDOWS\SYSTEM32\wuaucp~1.man Thu 8 Jul 2004 15:07:06 A..HR 749 0,73 K

C:\WINDOWS\SYSTEM32\zsqkpo~1.dat Sun 9 Oct 2005 13:31:16 A.... 10 135 9,89 K

C:\WINDOWS\SYSTEM32\zsqkpo~1.exe Wed 14 Sep 2005 21:05:34 A.... 236 084 230,55 K

C:\WINDOWS\SYSTEM32\zsqkpo~2.dat Fri 7 Oct 2005 20:36:22 A.... 61 653 60,21 K

C:\WINDOWS\SYSTEM32\zsqkpo~3.dat Sun 9 Oct 2005 13:31:04 A.... 1 785 1,74 K

________________________________________________

2 163 items found: 2 115 files (8 H/S), 48 directories (2 H/S).

Total of file sizes: 391 725 760 bytes 373,58 M

Administrator Account = Vrai

--------------------End log---------------------

ça veut dire quoi tout ça ? (zsqkpo apparait dans mon msconfig dans les options demarrage) (est-ce que je dois supprimer zsqukpo avec killbox ? ou tout ça ?)

Modifié par Aztek
Lien vers le commentaire
Partager sur d’autres sites

Guest Crazy

Euh, ton log me laisse perplexe...

1) Des Fichiers cachés, OK mais aussi des Répertoires qui ont une extension.man (manual ?) pourquoi les cacher ???

2) Des trucs de 2002 et de 2004 qui n'ont probablement rien à voir avec ton PB ?

3) cmmgr32.gid semblerait être un driver d'interface graphique (mais n'existe pas sur ma bécane en Win XP pro)

4) cdplay~1.man doit avoir rapport avec un soft de lecture de CD (realplayer ? mais n'existe pas sur ma bécane non plus)

5) Tous les répertoires, sauf un (488 o) ont une taille de 749 o. C'est à priori un peu louche (mais pas sûr)...

Essaies tout de même Spubot S&D, Ad-Aware et aussi Microsoft Anti-Spyware...

En général ça marche plutôt bien, si tu as vraiment une saloperie (ou plusieurs) ils devraient trouver.

;)

Alain

Lien vers le commentaire
Partager sur d’autres sites

ok

Je veux vous dire un truc qui m'a surpris : j'etais sur une page web, et d'habitude il y avait une image avec un lien autour et une image d'auberge, mais quand j'ai regardé plus tard, l'image s'était changé en une image avec des femmes et crazy girl d'ecrit à gauche. Ca fait bizarre quand meme, en plus le lien avait aussi changé... J'ai rechargé la page, tout est rentré dans l'ordre.. Est-ce que ça a déjà arrivé à qqn ça ??

Lien vers le commentaire
Partager sur d’autres sites

Je veux vous dire un truc qui m'a surpris : j'etais sur une page web, et d'habitude il y avait une image avec un lien autour et une image d'auberge, mais quand j'ai regardé plus tard, l'image s'était changé en une image avec des femmes et crazy girl d'ecrit à gauche. Ca fait bizarre quand meme, en plus le lien avait aussi changé... J'ai rechargé la page, tout est rentré dans l'ordre.. Est-ce que ça a déjà arrivé à qqn ça ??

<{POST_SNAPBACK}>

Cela peut être dû soit à un hack temporaire de la part d'un "amuseur quelconque" soit à un abus de certains breuvages de ta part !

Bon, sans plaisanter, je te répondrais que oui, ça arrive. La plupart du temps sur des sites franchement douteux dont je ne te conseille pas la fréquentation, sauf pour tester l'efficacité de ton AntiVirus et de tes Anti-Spywares (en général, je fais mes tests persos sur des sites XXX - Si ça casse rien, c'est que mon système est bien blindé ! Sinon, je pleure, puis je répare...)

:lol:

Alain

PS : Je n'aime pas trop que l'on usurpe mon identité. Dis moi sur quel site c'était...

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines plus tard...

J'ai téléhargé Startuprun pour voire les trus qui se lancent au demarrage de mon ordi, et y a des application bizarre, mais cntenues dans des documents avec pleins d'autres applicationa encore plus bizarres avec des droles de noms :

C:\Documents and Settings\All Users\Application Data\Else Meet Eggs User\ qui contient :

2find.exe

Gram Draw.exe

intra vga.exe

mapi license.exe

seekinside.exe

skip spam.exe

trans win.exe

five great.exe

grid third.exe

itch win.exe

play meet.exe (nom donné en item par startuprun : eggsusereachtool c celui là qui est dans run du regitre systeme)

sixth setup.exe

storebone.exe

vcpart.exe

C:\Documents and Settings\Aline the Best\Application Data\Slow Debug Media\ qui y a pas qui se lancent mais c des noms bizarre alors je montre :

srowqcma.exe

utsvzzvx.exe

nexwntcn.exe

rffnreks.exe

xqsotmvn.exe

gqsorbyj.exe

hboxznjr.exe

tigqwxfz.exe

qwqsanqj.exe

gshdqbgn.exe

kwqhwmzy.exe

anvajval.exe

rzzaeogk.exe

nplackom.exe

Obj 64.exe

idolheartsendtrans >> mon traducteur dit ca veut dire avec des espaces : le coeur d'idole enverra la transaction :blink::blink:

furkgjnc.exe

qnlqlzmd.exe

bhsriwyp.exe

tvfyznfb.exe

dlilijpg.exe

ppqjjgte.exe

xhaljqhd.exe

mxpcmfyw.exe

zuseyekr.exe

pdprugye.exe

phqoiuck.exe

eaqauyom.exe

eorwydua.exe

ecrolrxp.exe

yohmpliq.exe

SPAMBASHENC.exe

C:\Documents and Settings\Aline the Best\Application Data\audio burn dupe\ qui contient seulement : testabout.exe : il se lance en browser helper objet .

On dirait des noms de codes tous ça :unsure::unsure:

Aidez-moi svp !, si vous savez ç'est quoi tout ça !!

Sinon, comme je l'avais dit dans le spost précédents, sur on ordi, il y a les crasy girls, instant access ...

Lien vers le commentaire
Partager sur d’autres sites

Svp y a encore quelqu'un ?

Sinon, peut-etre que je viens de trouver la suite du trojan sim css : le dossier navpam n'existe pas sur mon ordi Windows XP mais dans c:\windows\system32\

il y a les fichiers suivants :

zsqkpobyn.DAT

zsqkpobyn.exe

zsqkpobyn_nav.DAT

zsqkpobyn_navps.DAT

ç'est le navps et le nav qui m'a attiré l'attention, et le nom est bizarre et ce programme m'a éttiré l'attention depuis longtemps, est-il primordial à l'ouverture de windows ? ( est-ce officiel ) je peux les supprimer ?

Lien vers le commentaire
Partager sur d’autres sites

C:\Documents and Settings\All Users\Application Data\Else Meet Eggs User\ qui contie

J'ai été re-regarder et la clé a rechangé avec un nouveau programme dans le dossier qui a été recréé, donc, je suis sûr que çe dossier fait parti d'un spyware ou virus quelquonque, et pour slow debug media, microsoft antispyware vient de s'activer en mçeme temps qu'un objet de slow debug media ( obj 64 ) et un demandait de changer l'url et l'autre de bloquer ou non le programme..

Voilà, je redemarre mon ordi en mode sabeboot en non restaur systeme je upprime tout avec tous les anti-cochonnereies, et je supprimes les cles de demmarrages, ces dossier, l historique, les temporary internet files, et on verra si ça revient :unsure:

Modifié par Aztek
Lien vers le commentaire
Partager sur d’autres sites

Salut Aztek,

JE pense que la raison principale pour laquelle tu n'as pas de réponse est que ce virus devrait être éradiqué avec tous les antivirus récents ?

Tu tournes lequel, et est-il à jour ?

De plus, les anti-spywares tels que Ad-Aware, Spybot et autres viennent en général à bout de la plupart des spywares existants.

As-tu essayé HiJackThis ? En général il donne lui aussi une liste complète de tous les programmes tournant sur ton PC.

Lien vers le commentaire
Partager sur d’autres sites

J'ai AVG Free Edition, mais il ne detecte plus rien là, il detectait les edgaccess_....cab et les egdaccess.dll, mais windows anti spware les a supprimé aussi donc, l'antivirus n'est pas trop tourné vers les spyware.. Sinon, là j crois que le trojan/spyware simcss a été supprimé sur mon ordi merci à tous ( j'ai peut-etre encore quelques trucs à supprimer mais faut que je demandes le code de la session à ma soeur car il y a un mot de passe ^^ )

Sinon, merci dan, je vais installer HiJackThis pour le futur on sait jamais

@+

Lien vers le commentaire
Partager sur d’autres sites

Svp y a encore quelqu'un ?

Sinon, peut-etre que je viens de trouver la suite du trojan sim css : le dossier navpam n'existe pas sur mon ordi Windows XP mais dans c:\windows\system32\

il y a les fichiers suivants :

zsqkpobyn.DAT

zsqkpobyn.exe

zsqkpobyn_nav.DAT

zsqkpobyn_navps.DAT

ç'est le navps et le nav qui m'a attiré l'attention, et le nom est bizarre et ce programme m'a éttiré l'attention depuis longtemps, est-il primordial à l'ouverture de windows ? ( est-ce officiel ) je peux les supprimer ?

<{POST_SNAPBACK}>

EDIT : Je l'ai supprimé, et Windows demarre tout aussi bien, ce programme figurait dans ajout suppresion de programme donc il est arrivé après, donc, je peu dire oui c un spyware ...

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant

×
×
  • Créer...