Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

walid

virus ou vers etrange sur mon pc

Messages recommandés

Bonjour

 

depuis 2-3 jours mon ordinateur deconne trop. Quand je lance Internet Explorer il met 2h avant de s'ouvrir, et il affiche un probleme C++ de la bar Google...

 

De plus dans beaucoup de dossiers, j'ai 6 ou 7 fichiers de type : fhdsjfh.t, rwedsk.t etc.....

 

Si quelqu'un connaissait ce problème... :P

 

 

merci beaucoup

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir walid,

 

*** Bienvenue sur le forum sécurité de Zebulon ***

 

Tu es probablement infecté par une variante de luder/dref...

 

 

1) Télécharge Dr.Web CureIt sur ton bureau

 

---> Double-clique sur drweb-cureit.exe et choisis Analyse

---> Cette option va scanner les processus en cours et quand quelque chose sera trouvé, clique sur le bouton "Ok" pour commencer. C'est seulement un scan rapide.

---> Lorsque ce scan rapide sera terminé, sélectionne les disques que tu veux scanner.

---> Sélectionne tous les disques. Un point rouge te montre les disques que tu as sélectionnés.

---> Clique alors sur le sigle vert à droite, et le long scan va commencer.

---> Clique sur la première icône pour "sélectionner" tous les malware's trouvés

---> Quand le scan est terminé, sélectionne "Supprimer les objets non réparables" move.gif (attention, cette copie d'écran est en anglais, regarde juste l'icône)

 

Le fix va déplacer les fichiers éventuels ici : %userprofile%\DoctorWeb\quarantaine-folder s'il n'a pas pu les nettoyer.

 

---> Ensuite, dans le menu "Dr.Web CureIt" au-dessus, clique sur "fichier" et choisis "enregistrer le rapport"

---> Enregistre le rapport sur ton bureau. Il s'appellera "DrWeb.csv"

---> Ferme Dr.Web Cureit.

---> Redémarre ton ordinateur (des fichiers pourraient être supprimés à ce moment-là)

---> Après le redémarrage, utilise le bloc-note pour ouvrir le rapport "DrWeb.csv" et le poster sur ce forum...

 

 

2) Télécharge HijackThis ici : http://download.hijackthis.eu/hijackthis_199.zip

---> Décompresse l'archive dans un dossier dédié

---> Renomme HijackThis.exe en Vundo.exe

---> Lance-le

---> Choisis l'option "Do A System Scan And Save A Log File"

---> Copie-colle le rapport sur ce forum

 

Tutoriels : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

Partager ce message


Lien à poster
Partager sur d’autres sites

Voila mon rapport hijack this, il est possible que antivir ait suffi?

 

Logfile of HijackThis v1.99.1

Scan saved at 04:55:42, on 14/11/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE

C:\WINDOWS\System32\LVCOMSX.EXE

C:\WINDOWS\System32\ElkCtrl.exe

C:\WINDOWS\System32\devldr32.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [speed racer] C:\Program Files\Creative\PlayCenter\CTSRReg.exe

O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe /automation

O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Microsoft Works Update Detection] ???????\WkDetect.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [updateService] C:\WINDOWS\System32\wservice.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = ?

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.exe

O16 - DPF: {62CEC9E0-3811-4C36-A94E-4F7565DCD23F} (DDSC Class) - https://sis.ehl.ch/sis/sis/Portal/resources/msddsc.cab

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - https://secure2.comned.com/signuptemplates/...login-devel.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Walid,

 

* Il est nécessaire de suivre parfaitement mes instructions :

---> Renomme HijackThis.exe en Vundo.exe

 

La désinfection d'une machine doit se faire avec une certaine rigueur...

 

---------- As-tu déjà passé Dr.Web ?

---------- Peux-tu poster le rapport stp ?

 

 

il est possible que antivir ait suffi?

 

---> Normalement, les dernières versions d'Antivir intègrent la détection de certaines variantes de Luder, oui... mais il est nécessaire de nettoyer la machine jusqu'au bout : un trojan downloader aurait vite fait de te ré-infecter ! D'ailleurs, il reste une entrée de démarrage néfaste et associée à Luder !

 

 

 

1) Exécute la procédure avec Dr.Web si ce n'est déjà fait (n'oublie pas de poster le rapport)

 

 

 

2) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) :

 

 

O4 - HKCU\..\Run: [updateService] C:\WINDOWS\System32\wservice.exe

 

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.exe

 

O16 - DPF: {62CEC9E0-3811-4C36-A94E-4F7565DCD23F} (DDSC Class) - https://sis.ehl.ch/sis/sis/Portal/resources/msddsc.cab [si tu connais ce site, ne fixe pas cette ligne !]

 

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - https://secure2.comned.com/signuptemplates/...login-devel.cab

 

Tutoriels :

 

http://pageperso.aol.fr/balltrap34/demohijack.htm

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

 

 

 

 

3) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr"

 

 

---> Valide en appuyant sur OK

---> Laisse Windows calculer, coche toutes les cases

---> Clique à nouveau sur OK

 

 

 

4) Ta console JAVA n'est pas à jour...ce qui laisse des failles de sécurité et permet aux malware's de revenir...

 

---> Télécharge ici la dernière version de JAVA : http://www.java.com/fr/download/manual.jsp

 

---> Après téléchargement, va dans le panneau de configuration --> Ajout/Suppression de programmes afin de désinstaller l'ancienne version, ceci pour récupérer de l'espace disque et éventuellement pour combler les failles présentes dans cette ancienne version.

 

---> Redémarre et installe la nouvelle version

 

---> Retourne alors sur le site de Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

 

En cas de problèmes chez Sun, tu peux aller télécharger la dernière version ici : http://www.filehippo.com/download_java_runtime/

 

 

 

5) Ton Windows n'est pas à jour, ce qui pose de graves problèmes en termes de sécurité, rends-toi sur le site http://update.microsoft.com/windowsupdate/...ault.aspx?ln=fr et télécharges-y toutes les mises à jour !

 

 

/*\ Rencontres-tu encore des problèmes avec ta machine ?

/*\ Poste un nouveau rapport HijackThis pour vérifier si tout est en ordre !

 

 

Bon travail ! :P

Modifié par WawaSeb

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir walid,

 

* As-tu suivi toute la procédure jusqu'au bout ?

* Rencontres-tu encore des problèmes ?

 

---> Si la réponse à ces deux questions est "oui", suis les instructions suivantes :

 

 

1) Télécharges AVG anti-spyware

 

---> Enregistre-le fichier dans un dossier.

 

---> A la fin du téléchargement, ouvre le dossier et tu double-clique sur avgas-setup-7.5.0.50.exe. Suis les instructions.

 

---> Si on te demande de redémarrer ton ordinateur, fais-le.

 

---> Pour lancer AVG anti spyware , double-clique sur l'icône qui s'est créé sur le bureau.

 

 

Lors du premier lancement, tu devras configurer le logiciel :

 

---> Sur la page "état", tu choisis inactif pour le bouclier résident.

---> Sur la page "mise à jour", tu coches les cases sur les mises à jour automatiques et tu fais une mise à jour manuelle (commencer la mise à jour). Tu redémarres l'ordinateur si nécessaire.

---> Sur la page "analyse", tu choisis d'abord l'onglet "paramètres". Tu coches "générer un rapport après chaque analyse" et "uniquement en cas de menaces".

---> Tu choisis l'onglet analyser, nouvelle analyse, analyse complète du système.

---> A la fin de l'analyse, tu cliques sur "action", "appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre.

Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier-coller avec ta réponse.

 

 

2) Télécharge Blacklight (de F-Secure)

 

et sauvegarde-le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle également le contenu de ce rapport dans ta prochaine réponse

 

 

Bonne chance !!! :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×