Injection de uyhheiq

Invité

Bonjour

j'ai vu que d'autres personnes avaient des problèmes similaires au mien. Je vous explique:

J'ai installer Sunbel Personnal Firewall 4 et tres regulierement (jusqu'a une fois toutes les 2 secondes au pire))
il m'affiche ceci : "Tentatvie d'intrusion bloquée"

Voila le detail:

Détails techniques sur l'intrusion :

Application injectrice : C:\documents and settings\administrateur\local settings\application data\uyhheiq.exe(new line)
Description : uyhheiq(new line)
Version du fichier : (new line)
Produit : (new line)
Version du produit : (new line)
Créé le : 2008/5/14, 20:17:52(new line)
Modifié le : 2008/5/14, 20:17:52(new line)
Dernier accès le : 2008/5/28, 08:29:05

Application cible : C:\Program Files\Internet Explorer\IEXPLORE.EXE(new line)
Description : Internet Explorer(new line)
Version du fichier : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)(new line)
Produit : Système d'exploitation Microsoft® Windows®(new line)
Version du produit : 6.00.2900.2180(new line)
Créé le : 2006/12/15, 10:48:49(new line)
Modifié le : 2004/10/31, 12:00:00(new line)
Dernier accès le : 2008/5/28, 08:29:14

Adresse de l'injection : 0x01770000

J'ai donc fait une recherche de "uyhheiq" qui n'apparait nul part sur internet je me dis donc que c'est un virus.
Comment faire maintenant ?

Merci beaucoup

Bonjour

Oui tu es infecté. C'est la fonction HIPS de Kerio qui te le signale.

Fais ceci

Fais un clic droit sur ce lien :
http://pagesperso-orange.fr/il.mafioso/Navifix/Navilog1.zip

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

bye

Invité

Code:: Search Navipromo version 3.5.7 commencé le 29/05/2008 à 12:13:35.42

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Administrateur"

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\LOGMEI~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\LOGMEI~1.IND\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\LOGMEI~1\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\LOGMEI~1.IND\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\LOGMEI~1\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\LOGMEI~1.IND\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *

Fichiers trouvés :

uyhheiq.exe trouvé !
uyhheiq.dat trouvé !
uyhheiq_nav.dat trouvé !
uyhheiq_navps.dat trouvé !

* Recherche dans "C:\DOCUME~1\LOGMEI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\LOGMEI~1.IND\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" :

uyhheiq.dat trouvé !
uyhheiq_nav.dat trouvé !
uyhheiq_navps.dat trouvé !

* Dans "C:\DOCUME~1\LOGMEI~1\locals~1\applic~1" :

* Dans "C:\DOCUME~1\LOGMEI~1.IND\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 29/05/2008 à 12:24:17.25 ***

Bon ça a l'air claire.

Je suis belle et bien infecté par:

Code:: Fichiers trouvés :

uyhheiq.exe trouvé !
uyhheiq.dat trouvé !
uyhheiq_nav.dat trouvé !
uyhheiq_navps.dat trouvé !

Comment on supprime ? Je relance et cette fois je choisi la reponse 2? (désolé si c'est stupide je connais rien en virus...)

Voilà, utilise l'option 2 et suis ce qui est indiqué $clin d\\'oeil$
A la fin met le rapport ici afin de vir si tout a été supprimé

bye

Invité

Code:: Clean Navipromo version 3.5.7 commencé le 29/05/2008 à 22:21:50.04

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Administrateur"

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS

Nettoyage exécuté au redémarrage de l'ordinateur

*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *

C:\WINDOWS\prefetch\uyhheiq*.pf trouvé !
Copie C:\WINDOWS\prefetch\uyhheiq*.pf réalisée avec succès !
C:\WINDOWS\prefetch\uyhheiq*.pf supprimé !

* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *

uyhheiq.exe trouvé !
Copie uyhheiq.exe réalisée avec succès !
uyhheiq.exe supprimé !

uyhheiq.dat trouvé !
Copie uyhheiq.dat réalisée avec succès !
uyhheiq.dat supprimé !

uyhheiq_nav.dat trouvé !
Copie uyhheiq_nav.dat réalisée avec succès !
uyhheiq_nav.dat supprimé !

uyhheiq_navps.dat trouvé !
Copie uyhheiq_navps.dat réalisée avec succès !
uyhheiq_navps.dat supprimé !

* Suppression dans "C:\DOCUME~1\LOGMEI~1\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\LOGMEI~1.IND\locals~1\applic~1" *

*** Suppression dossiers dans "C:\WINDOWS" ***

*** Suppression dossiers dans "C:\Program Files" ***

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Suppression dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\LOGMEI~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\LOGMEI~1.IND\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\LOGMEI~1\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\LOGMEI~1.IND\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\LOGMEI~1\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\LOGMEI~1.IND\menudm~1\progra~1" ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\WINDOWS\system32" *

* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *

* Dans "C:\DOCUME~1\LOGMEI~1\locals~1\applic~1" *

* Dans "C:\DOCUME~1\LOGMEI~1.IND\locals~1\applic~1" *

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 29/05/2008 à 22:28:04.85 ***

Apperement c'est bon non ?

Oui

TU peux désinstaller Navilog via ajouter/supprimer des programmes.

N'hésite pas à faire un scan anti-virus en ligne avec Bitdefender afin de voir si ton ordi ne contient pas d'autres intrus.

N'hésite pas en cas de problème bye

Invité

Ben que dire...? merci beaucoup je sais d'ou venait toutes ces pub de la c** maintenant , je commencais a en avoir marre di donc.

Merci infiniement

» Intrusion : code injection
» Sunbelt Kerio et Supercopier: Injection de code
» Injection de code sous Sunbelt Kerio Personal Firewall