hldrrr.exe besoin d'aide!

[gillou001]

bonsoir,

 

j'ai découvert que mon PC était infecté par hldrrr.exe, j'aimerai avoir de l'aide pour m'en débarrasser, avast ayant deja été mangé par le monstre!!

 

j'ai installé hijackthis et voici le rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 23:32:02, on 18/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\RunDll32.exe

D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\MSN Messenger\MsnMsgr.Exe

D:\Program Files\OpenOffice.org 2.1\program\soffice.exe

D:\Program Files\OpenOffice.org 2.1\program\soffice.BIN

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Program Files\MSN Messenger\usnsvc.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Documents and Settings\Gilles\Bureau\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [sunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [bitTorrent] "D:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - Startup: OpenOffice.org 2.1.lnk = D:\Program Files\OpenOffice.org 2.1\program\quickstart.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

 

 

qui voudra bien m'aider interpreter les données ci dessus et me guider pour m'en sortir?

Modifié le 18 juillet 2007 par gillou001

[Zonk]

Allô guillou001

Bienvenue sur le forum

Normalement la procédure pour débuter est.....et ce n'est qu'un pré nettoyage...l'aide viendra suite a ceci

http://forum.zebulon.fr/index.php?showtopic=83986

....une fois Antivir installé,tu désactive ton Avast......a la fin tu auras un choix a faire...soit Antivir ....ou Avast

pour désinstaller Antivir tu auras la démarche dans la procédure.....pour Avast

http://www.avast.com/fre/avast-uninstall-utility.html

http://forum.zebulon.fr/index.php?showtopic=123053

....soit patient en mode sans échec....parfois le démarrage/fermeture est allongé de plusieurs minutes....

@+

Modifié le 19 juillet 2007 par Zonk

[angelique]

j'ai découvert que mon PC était infecté par hldrrr.exe

 

* Télécharge ELIBAGLA en bas de cette page > http://www.zonavirus.com/datos/descargas/95/elibagla.asp

• Clique sur le bouton Descargar Elibagla , place le sur le bureau.
  
• Double-clique dessus pour l'ouvrir.
  
• Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\
  
• Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
  
• Clique sur le bouton Explorar pour lancer l'analyse.
  

Poste le rapport ELIBAGLA stp.Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt

 

Un conseiller securité passera analyser ce rapport

[gillou001]

j'ai installé elibagla.exe et apres verification voila le rapport : ( a savoir chez moi le disque C: est en faite nommé D:) :

 

Thu Jul 19 11:16:04 2007

EliBagle v10.46 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

D:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR

D:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

D:\DOCUMENTS AND SETTINGS\GILLES\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle

D:\DOCUMENTS AND SETTINGS\GILLES\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.46

a "virus@satinfo.es". Gracias.

D:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

 

Thu Jul 19 11:18:11 2007

EliBagle v10.46 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

[gillou001]

personne pour m'aider svp mon Pc et moi avons besoin d'aide!

[angelique]

*bagle a été éliminé, supprime D:\Muestras,et Elibagla.

 

*vu que tu n'as pas d'antivirus:

 

Télécharger

-->Antivir http://www.free-av.com/down/windows/antivi..._win7u_en_h.exe

Une fois passé en mode sans échec, installer et paramétrer Antivir.

Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici :

http://www.libellules.ch/tuto_antivir.php

 

 

http://speedweb1.free.fr/frames2.php?page=tuto5 ou là >> http://www.malekal.com/tutorial_antivir.php

 

-->telecharger - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 --> met le sur ton bureau

 

*Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

---> lance:

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

 

---> réalise un scan de ton/tes disk dure, et conserve le rapport que tu posteras dans ta nouvelle reponse au reboot en mode normal, ainsi qu'un nouveau rapport HijackThis

[Zonk]

, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Allô Angélique

Pour ma part je n'ai qu'un compte....celui d'administrateur.........lorsque je vais en mode sans échec,j'ai le choix de deux comptes , soit administrateur ou utilisateur (je crois).......dans mon cas,vu la logique ,je prends "administrateur"....devrais-je prendre "utilisateur" ?? quel est la différence entre ces deux comptes??le compte "administrateur" ne donne t'il pas plus de contrôle?? n' ayant qu'un compte,le compte "utilisateur" serait t'il actif??

@+

http://www.micro-astuce.com/depannage/dema...mode-sans-echec

Modifié le 20 juillet 2007 par Zonk

[angelique]

Pour ma part je n'ai qu'un compte....celui d'administrateur.........lorsque je vais en mode sans échec,j'ai le choix de deux comptes , soit administrateur ou utilisateur (je crois).......dans mon cas,vu la logique ,je prends "administrateur"....devrais-je prendre "utilisateur" ??

 

je fais utiliser la session infectée.

[Zonk]

je fais utiliser la session infectée.

D'accord....je croyais que ces démarches opéraient sur l'ensemble du système.....

merci pour le renseignement

Modifié le 20 juillet 2007 par Zonk

[bleuet]

* Télécharge ELIBAGLA en bas de cette page > http://www.zonavirus.com/datos/descargas/95/elibagla.asp

• Clique sur le bouton Descargar Elibagla , place le sur le bureau.
  
• Double-clique dessus pour l'ouvrir.
  
• Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\
  
• Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
  
• Clique sur le bouton Explorar pour lancer l'analyse.
  

Poste le rapport ELIBAGLA stp.Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt

 

Un conseiller securité passera analyser ce rapport

 

Salut angelique,

 

je tombe sur le sujet.

J'ai eu ce hldrrr.exe qui voulait s'installer. J'ai bloqué la modif de registre grâce à Spybot teaTimer (dernière version).

Utiliser ELIBAGLA qui avait trouvé et a fixé l'intrus. (comme expliqué par gilou001).

Puis fait tous les nettoyages avec les nettoyeurs classiques. Rien trouvé. P.F. et A.V. tournent sans problème

Par contre, dans le registre, à :

HKLM\System\Software\Comodo\personal firewall\Appctrl\IPC\1\1\, je trouve l'animal : (donc au niveau de COMODO)

Value : Filename.

Data : D\Windows\System32\hldrrr.exe.

Impossible de supprimer cette valeur par le registre et à system32, je trouve rien.

Je peux supprimer comment ? Je peux pas supprimer parce que fixé par Spybot ?

 

merci de me préciser.

bonne journée