Votre question

Teamspeak infecté par Trojan.Patched.T...RESOLU.

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
22 Juin 2007 19:56:07

Bonjour, en voulant télécharger Coolbit sur un forum, j'ai récolté Trojan.Patched.T qui infecte Teamspeak.

Bitdefender le bloque et le met en quatantaine sans pouvoir le désinfecter ou l'effacer. Si j'arrive à enlever Ts, il revient toujours avec un fichier temp infecté.

J'ai effacé TS en démarrage sans echec, en vain, il revientavec son tmp infecté. J'ai fait une restauration sans succès. Ad aware s'est bloqué dans son scan en arrivant sur TS. Ewido n'a rien donné, ni spybot, ni Ccleaner. J'ai effacer le dossier prefetch...

Je n'arrive pas à réinstaller Teamspeak et surtout, je ne sais pas où se loge le programme qui infecte le pc. Sur le log Hijackthis, je ne vois rien de spécial.
Je le mets à tout hasard, pour les spécialistes.
Logfile of HijackThis v1.99.1
Scan saved at 19:34:10, on 22/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Softwin\BitDefender9\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\Program Files\Softwin\BitDefender9\bdnagent.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Razer\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Razer\razerofa.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Program Files\Save Flash\SaveFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\razerhid.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger les tous avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B8579AB-A748-4BB0-B45A-4FA6C851D79B}: NameServer = 192.168.1.1,80.10.246.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Pouvez-vous m'aider ? je commence à bouillir..... Merci à vous !

Autres pages sur : teamspeak infecte trojan patched resolu

a b 8 Sécurité
22 Juin 2007 20:42:53

Bonjour,

Quel est l'emplacement du fichier détecté ?
22 Juin 2007 22:13:08

Salut. Le fichier infecté est dans Teamspeak2. (program files/teamspeak2-rc2). Je viens d'essayer avec Kaspersky qui ne l'a pas trouvé du tout, lui. (le message montrait que Teamspeak2.exe était infecté)... Je ne sais plus trop quoi faire, d'où vient-il celui-là?
a b 8 Sécurité
22 Juin 2007 22:22:24

Tu as essayé en mode sans échec ?
22 Juin 2007 22:48:30

Oui oui... et c'est revenu après coup, c'est ça le hic... je viens aussi de m'apercevoir que j'ai un zero G registry en fichier caché. Sais-tu ce que c'est ? J'avais aussi un fdm.exe qui s'est connecté via mon parefeu... C'est à peu près tout ce qu'il y a de louche... ce trojan n'apparait pas très dangereux, mais comment m'en débarasser ?(à part le divin formatage).
d'avance merci !
22 Juin 2007 22:53:24

Oups, FDM c'est juste free download manager ! Mais le zero G registry, je vois pas trop...
a b 8 Sécurité
22 Juin 2007 22:55:07

Re,

Télécharge Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.

&

Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
Clique sur le premier " Download " afin de télécharger le programme
Sauvegarde le sur ton Bureau
Double-clique fsbl.exe et accepte la licence; clique Scan puis Next.

A la fin du scan, NE TOUCHE A RIEN !

Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Nous devons analyser ce rapport, ferme donc le BlackLight.

Poste le rapport sur le forum.

AIDE : Tuto sur BlackLight (Malekal)
22 Juin 2007 23:18:59

Merci, je vais faire ça demain, à tête reposée... cela dit, je viens de m'apercevoir d'un truc assez dingue. Mon disque est partitionné et je conserve ainsi sur le D tous mes Setups téléchargés. Je m'aperçois alors par hasard que le setup de TS (que j'ai depuis octobre06) est infecté par le virus. Je télécharge alors une autre version et hop, en scannant le setup (sans l'ouvrir) il apparaît infecté à une ligne (ts2_client_rc2_2032.exe=>(instyler0)=>(instyler Module1)..... Jamais vu un truc pareil, ça m'échappe !
A demain !
23 Juin 2007 01:28:27

c'est un setup infecter ou bien tu peu avoir telecharger un teamspeak infetect qui a un virus dans les sound
23 Juin 2007 18:10:34

Non, j'ai pris le setup de TS sur clubic. Le setup précédent qui s'est retrouvé lui aussi infecté, était également sain, puisqu'il a servi sur deux pc distincts pendant 10 mois sans problème. Non, il y a quelque chose dans mon pc qui infecte TS dès que le setup arrive dedans.... A présent, je vais faire les manips d'Angeldark et je reviens. Merci !
23 Juin 2007 18:13:31

voilà le rapport cleanzip, il a trouvé quelque chose en deux secondes.
"23/06/2007 a 18:11:27,15

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\bdod.bin FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport ! "

23 Juin 2007 18:36:55

Voila le rapport de blacklight :

06/23/07 18:29:53 [Info]: BlackLight Engine 1.0.64 initialized
06/23/07 18:29:53 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/23/07 18:29:53 [Note]: 7019 4
06/23/07 18:29:53 [Note]: 7005 0
06/23/07 18:29:55 [Note]: 7006 0
06/23/07 18:29:55 [Note]: 7011 1860
06/23/07 18:29:55 [Note]: 7026 0
06/23/07 18:29:55 [Note]: 7026 0
06/23/07 18:29:57 [Note]: FSRAW library version 1.7.1022
06/23/07 18:31:30 [Note]: 2000 1012

Visiblement, il n'a rien trouvé de suspect. J'ai retéléchargé TS sur info-du-net et Bitdefender me retrouve dedans le même trojan, sans pouvoir le désinfecté, et ni même le mettre en quarantaine (c'est nouveau ça)... je dois ajouter que j'ai effacé en mode sans echec le bdod.bin et qu'il est revenu!!!! Comment l'ôter définitivement si c'est lui le coupable !??
23 Juin 2007 19:03:38

Si il te retrouve le meme trojan c'est que ces un bug ou bien telecharge le sur www.goteamspeak.com (le site officiel)
a b 8 Sécurité
23 Juin 2007 19:04:27

Laisse tomber bdod.bin, rien de méchant.
Cela vient de TeamSpeak, il faut se tourner vers un autre programme.
23 Juin 2007 19:51:53

Hélas, mon clan se sert de TS depuis 3 ans, on ne pourra pas en changer. je me demande si ça ne vient pas de Bitdefender qui bugue. Si quelqu'un a une idée, je prends... Merci de votre aide. Je creuse la question et je reviens.
a b 8 Sécurité
23 Juin 2007 20:00:55

Peut être un faux-positif, je ne sais pas.
23 Juin 2007 20:08:19

En effet, tous les setups de TS que je télécharge (site officiel) semble contenir un exe infecté (avant même que je l'installe). Meme en le mettant sur une clé pour l'installer depuis celle-ci... j'ai bien l'impression que c'est Bitdefender qui met la pagaille... je vais essayer de le réinstaller et on verra bien. Je vous dirais ce qu'il en est.
23 Juin 2007 20:19:42

Je viens de lire certains posts sur le net sur les faux-positifs et j'ai fait une mise à jour de Bitdefender... et hop, on dirait que le problème est réglé. Si seulement j'avais mis en cause mon anti-virus pourtant fiable, on en serait pas là. Merci de votre aide et pardon pour cette fausse alerte... on ne m'y reprendra plus... enfin, le principal est que ça marche ! Allez, j'offre une tournée générale!
a b 8 Sécurité
23 Juin 2007 20:33:09

Bonne continuation ;) 
23 Juin 2007 23:05:21

maxiluc si tu veu etre sure voir si c'est ton anti virus le problem essaye un scan online http://virusscan.jotti.org/




ah dsl je n'avais pas lue ton derniere poste.
24 Juin 2007 12:05:44

Merci quand même, tout va bien à présent. Certains indices troublants auraient dû me mettre sur la voie, mais c'est la première fois que ça m'arrive ! A +
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS