demande d'info sur trojan/virus

    Exposé rapide:pendant moin absence,mon antivirus a détecté un trojan dans le fichier( _t.exe(je crois),avec un message me disant de lancer l'antivirus pour l'élimibner.Je lance l'antivirus,et il efface un virus(trojan aussi,je crois),dans un autre fichier(commençant pas "m",je ne sais plus si c'était un .exe mais il me semble que non).


    Je vais jeter un oeil,le fichier _t.exe n'existe pas!Je supprime un fichier créé aujourd'hui même(et qui apparaissait dans les processus)(tlib.exe),une fois son occurence dans les processus fermée sans problème,à première vue.


    Je tente une restauration,le PC me dit que c'est impossible car aucun fichier n' a été modifié sur le PC.


    Je supprime proprement la toolbar apparue dans IE(et qui me modifie la page de démarrage lorsque'elle s'installe et se désinstalle)(nom:0CAT YellowPages,ou quelque chose d'approchant)(il y avait un lien expliquant comment la désinstaller).


    Je relance le PC(avec un peu de mal pour me reconnecter,la fameuse erreur 291).


    Et,depuis,le message de mon antivirus me disant qu'un trojan a été repéré n'apparait plus,pour le moment(depuis que j'ai viré le programme dans l'autre fichier et tlib.exe,à peu près).


    Question:A voitre avis,me suis-je débarassé de ce virus et de la toolbar?


    Question subsidiaire:Le virus et la toolbar étaient/sont-ils liés,selon vous?


    Merci d'avance! :)

    Franchement actuellement les nouveaux virus sont assez violents. Genre ils pulvérisent ton PC avant que tu te rendent compte qu'ils sont là et ton antivirus ne peut rien faire parce qu'il n'a pas de remède et pas de définition.


    Je pense que tu es débarassé du truc. Enfin si tu n'as plus de message incongru. De temps en temps ce sont des adwares plus que des virus, mais ça peut aller de pair :P

    Oui,mias maintenant,j'ai un trojan dans C:\System Volume Information,et,d'une part mon antivirus ne le trouve pas,d'autre part,je ne peux pas accéder à ce fichier manuellement(apparemment,il est dans un sous-dossier restore de ce dossier innacessible,selon le message de mon antivirus)(nom:Agent.Downloader.BN ou quelque chose d'approchant)...


    C'est mon PC qui a un problème(comme un virus l'indiquant comme "cible"),ou il y a une attaque de virus en masse(virus ciblé sur l'IP,au hasard,par exemple)?


    D'autre part,si vous savez comment virer le trojan de ec fichier,merci de me l'indiquer!


    Au passage,quand je veux accéder au dossier par éxécuter,il me marque:
    "C:\System Volume Information n'est pas accessible.


    Accès refusé.".

    Petit ajour,j'ai réussi à faire apparaître ce dossier(ainsi que quellques autres)en décochant la case "Masquer les fichiers protégés du système d'exploitation".


    Toutefois,je ne peux toujours pas y accéder! :chim:


    Lorsque j'ai décoché la case,j'ai eu un message me sisant que ces fichiers sont nécessaires pour le démarrage et le bon fonctionnement de Windows,mais,lorsque je regarde les propriétés du dosssier,ça me donne comme information que le dossier est vide(0 fichier(s),0 dossier(s))...


    Est-il risqué de supprimer ce dossier(si tant que je puisse le faire),ou ya't-il un moyen de l'ouvrir,et/ou de supprimer le fichier infecté?

    Moi en ce moment j'ai un service qui s'est installé tout seul : ATK KEyboard Service, et je sais pas à quoi il correspond. Cependant je l'ai désactivé et il n'est pas revenu alors je m'inquiète pas plus que ça :)

    Childeric Kaldor


    Co-fondateur du Cercle d'Avalon
    « Fort est qui abat, plus fort est qui se relève »

    Je pense que ej vais faire de même,vu que mon antivirus n'a detecté aucun virus sur C: (analyse de 77minutes,c'est long...)...


    J'espère que ce trojan bizarre(existant au coeur d'un fichier inexistant...)ne fera pas de dégats,et que je ne vais pasd chopper d'autre virus pendant un moment(des mois sans virus,et 2 trojans le même jour,c'est bizarre)...

    Tu vas dans le panneau de configuration, système et tu désactives les points de restauration (sur tous les disques) dans l'onglet restauration système.
    Tu reboot
    Le dossier C:\System Volume Information est un dossier système caché, tu vires donc tous les masques dans les propriétés des dossiers afin de TOUT voir.
    Tu effaces ce que tu veux :D


    Quand on soupçonne un virus de se balader dans son DD, la première chose à faire est de terminer le process, puis de le virer du prefetch dans le répertoire windows, ensuite de désactiver les points de restauration ( c'est un coffre fort à virus ce truc mais c'est rudement util quand tu merdouilles avec les drivers LOL), puis virer les clefs du registre appellant les executables et DLL de Mr l'inconnu et enfin d'effacer tout ce qui te plait pas.


    ATTENTION CES MANIPULATIONS ONT DE FORTES CHANCES DE LAISSER VOTRE PC SUR LE CARREAU, ne les exécuter que si on sait ce qu'on cherche et comment l'enlever.
    Comme tu as déjà eu du mal pour afficher des dossiers systèmes masqués, je te conseille fortement d'avoir quelqu'un qui sait ce qu'il fait sous la main; ou d'être prêt à faire un bon format des familles :D


    PS: ne pas oublier de réactiver la restauration système quand tout est revenu à la normal.

    Oui,j'avais pensé à désactiver la restauration(à plus forte raison quand j'ai remarqué qu'un des sous dossiers du dossier inacessible s'appelle "restore") avant de faire le ménage,mais je n'aime pas trop trafiquer des fichiers sans filet!


    Pour le prefetch,je n'était pas au courant,merci de l'info! :)


    Le problème pour les clés,c'est que le nom n'est pas clair...J'ai loupé le nom donné par mon antivirus du premier,et je doute de son emplacement(_t ou tlib,là est la question)...Quand au deuxième,il est censé ne pas exister,vu que le dossier où mon antivirus l'a repéré est apparemment vide...Pas de dll pour le premier,à première vue,seul le fichier tlib.exe avait été créé aujourd'hui,quand je l'ai viré...


    Pour les dossiers systèmes,je sais comment les afficher,je ne pense pas être un newb,quand même! ;)


    Seulement,Windows a un double système de fichiers cachés(une case à basculer,et une a décocher),ce qui est assez stupide,selon moi,vu que la première option dévoile des fichiers qui peuvent bousiller le PC si on fait n'importe quoi avec...


    Quoiqu'il en soit,si je pense avoir encore des problèmes du à ce virus,je tenterai cette procédure,merci pour les infos! :)

    Bon,vu que j'ai eu 2 autres alertes sur un virus dans le dossier C:_System Volume Information(suivi,à première vu de \_restoreblabla),j'ai:
    -désactivé la restauration système
    -viré tous ce qui a été créé le 08/12/2004 et le 09/12/2004 du dossier Prefetch(destruction directe,sans passer par la case corbeille,sans toucher 20000€)(avant j'ai viré tous les processus "suspects",évidemment)
    -recherché et supprimé dans la base de registre les clés se rapportant à _t.exe et tlib.exe(rien d'essentiel,juste 2 cxlés pour les recherches effectuées sur _t.exe))
    -reboot le PC
    -essayé d'effacer le dossier C:\System Volume Information(sans succès,il est intouchable,je ne peux pas l'ouvrir,je ne peux pas le modifier,je ne peux pas le mettre dans la corbeille,je ne peux pas le supprimer directement...)
    -regardé de nouveau dans C:[WIBNDOWS\System32 poyr vérifié qu'il ne restait pas de fichiers _t.exe ni tlib.exe
    -réactivé la restauration système
    -relancé internet
    -écrit ce post( :P )


    Bref,rien qui me laisse penser que el problème soit résolu(à part quelques relicats de _t.exe et autres trucs suspects viré de Prefetch)...


    Quoiqu'il en soit,les attaques sur le mystérieux dossier intouchables n'ont pas l'air d'être gênantes pour le moment,c'est bizarre...Si vous entendez parlez de ça sur le net(j'ai tendance à chopper rapidement toutes les merdes qui apparaissent! :P ),merci de mettre un lien ici...Au pire,j'activerai le firewall de Windows,il ne marche pas trop mal,pour ça...

    Nouvelle attaque du virus/trojan "_t"(et/ou "tlib") aujourd'hui,j'ai refait à peu près ce que j'avais fait...


    Quant au virus mystère,il semble se limiter à faire apparaître ue fenêtre de pub de temps en temps...

    j'ai le mm virus ke toi dans le dossier system volum :)
    Pour le moment rien de méchant... j'espere que ça va le rester

    [align=center][size=14][color=#ff0000][size=14][img=http://img87.imageshack.us/img87/6902/sigllenlotron.jpg]
    La mort nous sourit a tous, la seule chose à faire, est de sourire à la mort

    Groumpf,réactivé le firewall,et je rechoppe et la pub,et le virus _t.exe(nommé cette fois-ci "tibs3.exe",et toujours absent sous sa forme "_t.exe")! :chim:


    Ils n'ont pas l'air méchant,mais ça m'énerve!


    Merci pour le site,Cixi,même si il ne m'aide pas sur ce coup,il peut s'avérer utile dans l'avenir! :)


    Au passage,à la même heure que le virus apparaît,il y a accès(selon el dossier Prefetch) aux programmes Access.exe et cmd.exe(cmd.exe était impliqué dans le virus lsass,si ma mémoire est bonne)...