sophie2

Grand merci à vous 2 pour la rapidité. Je fais tout ça dans la journée et vous tiens informé

Logfile of HijackThis v1.99.1 Scan saved at 08:53:25, on 27/03/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\xpjava.exe C:\WINDOWS\Explorer.EXE C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Configuration Windows] rundl32.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MOD] C:\Program Files\Microangelo\muamgr.exe O4 - HKLM\..\Run: [Compaq Service Drivers 32] compq32.exe O4 - HKLM\..\Run: [FireWire Service] nvscv32.exe O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe O4 - HKLM\..\Run: [MicroSoft Window Updater] winsupdater.exe O4 - HKLM\..\RunServices: [Configuration Windows] rundl32.exe O4 - HKLM\..\RunServices: [Compaq Service Drivers 32] compq32.exe O4 - HKLM\..\RunServices: [FireWire Service] nvscv32.exe O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe O4 - HKCU\..\RunServices: [Runtime Process] C:\WINDOWS\Csrss.exe O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe O4 - Startup: hotpop.lnk = C:\Program Files\Hotmail Popper\hotpop.exe O4 - Startup: Thundertray.lnk = C:\unzipped\thunderbird-0.5-win32\thunderbird\thundertray.exe O4 - Startup: YzDock.lnk = C:\Program Files\YzDock\YzDock.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Tous Télécharger par ReGet Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_All.htm O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm O8 - Extra context menu item: Télécharger avec Re&Get Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_Link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/ O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/31dcf0a472794e431718/...RdxIE601_fr.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1111869138733 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {9A19966F-AE0E-4699-8CCE-9B6F5F1C352C} - http://kr.pristontale.com/nprotect/keycrypt/npkxsite.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f002.mail.caramail.lycos.fr/app/upl...ileUploader.cab O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup...er/imloader.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://misnetwork.jexiste.fr/mischat45.cab O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Bonsoir à tous, ayant passé la journée entière à essayer de résoudre un problème et ne voyant pas de solutions, je me décide à demander de l'aide. Mon PC ramait anormalement ce matin, je lance la prévention éventuelle à savoir ad-aware qui me trouve un keylogger (issu d'une backdoor ?), spybot & destroy qui ne trouve rien et enfin un petit coup d'antivirus en ligne qui me dégote w32/GAOBOT.DAQ.worm a l'origine de bien des problèmes... Je nettoye donc tout ça, redémarre et vérifie la base de registre au cas où il resterait des traces. Aparremment pas de traces mais un PC toujours aussi lent. Après quelques recherches je m'aperçois que 100% de mon UC est utilisée, c'est donc là que vient le problème. J'ai lu que le ver GAOBOT trafiquait le fichier Hosts mais je l'ai édité et je n'ai rien vu d'anormal. Je voulais tenter une restauration de la base de registre mais je n'ai pas effectué de sauvegardes avant l'"accident" et scanreg /restore ne fonctionne pas sous XP. De + je n'arrive même plus à lancer d'antivirus que ce soit online ou non pour voir si il reste des résidus de cochonneries, ça prend un temps fou et ça n'avance pas (toujours à 0% en 1 heure, pas très rapide donc). Je commence à avoir peur de faire n'importe quoi et mon ordi devient de plus en plus lent alors si quelqu'un à une solution. Ci dessous le log d'hijackthis, si une âme charitable pouvait y jeter un oeil. Merci à lui. Logfile of HijackThis v1.97.7 Scan saved at 04:52:52, on 27/03/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\xpjava.exe C:\WINDOWS\Explorer.EXE C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Configuration Windows] rundl32.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MOD] C:\Program Files\Microangelo\muamgr.exe O4 - HKLM\..\Run: [Compaq Service Drivers 32] compq32.exe O4 - HKLM\..\Run: [FireWire Service] nvscv32.exe O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe O4 - HKLM\..\RunServices: [Configuration Windows] rundl32.exe O4 - HKLM\..\RunServices: [Compaq Service Drivers 32] compq32.exe O4 - HKLM\..\RunServices: [FireWire Service] nvscv32.exe O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe O4 - HKCU\..\RunServices: [Runtime Process] C:\WINDOWS\Csrss.exe O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe O4 - Startup: hotpop.lnk = C:\Program Files\Hotmail Popper\hotpop.exe O4 - Startup: Thundertray.lnk = C:\unzipped\thunderbird-0.5-win32\thunderbird\thundertray.exe O4 - Startup: YzDock.lnk = C:\Program Files\YzDock\YzDock.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Tous Télécharger par ReGet Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_All.htm O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm O8 - Extra context menu item: Télécharger avec Re&Get Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_Link.htm O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM) O9 - Extra button: Recherche (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/ O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/31dcf0a472794e431718/...RdxIE601_fr.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1111869138733 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {9A19966F-AE0E-4699-8CCE-9B6F5F1C352C} - http://kr.pristontale.com/nprotect/keycrypt/npkxsite.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls.../20/SassCln.CAB O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f002.mail.caramail.lycos.fr/app/upl...ileUploader.cab O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup...er/imloader.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://misnetwork.jexiste.fr/mischat45.cab Sinon tant pis, bonne nuit et bon week-end à tous

C'est résolu ! Voilà la solution : pour le ver sasser, télécharger le patch sur secuser Pour le trojan : utiliser la dernière version d'a² Bonne fin de week-end à tous

Ok merci beaucoup Rémi, je suis en train d'éplucher en long en large et en travers les forums informatiques, j'espère qu'on arrivera à s'en débarasser

Bonjour à tous, Après une nuit blanche et une matinée mouvementée je me décide à demander de l'aide avant que je me retrouve chauve à m'arracher les cheveux. Hier soir j'ai eu le bonheur de chopper un virus qui se comportait exactement comme blaster : "Arret du système. Veuillez enregistrer tous vos travaux en cours et quittez votre session. Toutes les modifications non enregistrées seront perdues. Cet arret a été initié par AUTORITE NT\SYSTEM" Le processus système C:\WINDOWS\system32\lssas.exe s'est erminé de manière innatendue avec le code d'état 128. Le système va maintenant s'éteindre et redémarrer. Compte à rebours d'une minute puis reboot automatique. J'ai essayé d'éradiquer mais en vain, secuser le repère bien : WORM SASSER.A sur C:\WINDOWS\SYSTEM32\13226_up.exe mais il n'est pas cleanable et il n'y a pas de clés de registres comme dit ici J'ai updaté windows et pourtant rien y fait. Sinon j'ai aussi récupéré ça cette nuit : TROJ ADCLICK.AI non cleanable sur C:\WINDOWS\SYSTEM\services.exe et je n'arrive pas à m'en débarasser (pas de clés de registres non plus). Si quelqu'un a une idée ou des conseils je lui en serait reconnaissant.