Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]virus présent mais indetectable !!!


Nicopio

Messages recommandés

Salut tout le monde,

là, je suis vraiment dans la panade et j'ai besoin de votre aide.

 

Je suis sous XP pro et win98, "protégé" (du moins le croyais-je) par Norton Internet Security et Norton Antivirus (maj du 03/05).

 

En surfant hier, (sous XP), d'un coup, mes recherches aboutissaient toujours sur un message: "impossible d'afficher la page etc...", idem pour outlook express qui finissait avec "impossible de se connecter au serveur". Puis mon firewall et mon antivirus se sont éteint "tout seul". sans aucune alerte ! Impossible de les relancer (idem pour regedit et msconfig), sauf en mode sans échec, qui me donne hxdefdrv.sys infecté par backdoor.hackdefender. Je ne peux pas le réparer, ni le mettre en quarantaine (il me semble) et je le delete à la main. Sous Win 98 tout va bien, pas de pblm pour le surf.

 

Aujourd'hui, sous Win98, je vais sur secuser.com et fait une analyse en ligne: rien ! Je recommence avec AVG 7.0, rien ! Pourtant, même symptomes sous XP, qu'hier, sauf ma messagerie qui est accessible. Je repart en mode sans echec et je vais jeter un oeil dans le journal des erreurs, et voilà ce que je trouve dans l'onglet application:

 

03/05 à 23h53

La description pour l'ID d'événement ( 4097 ) dans la source (Norton AntiVirus) est introuvable. L'ordinateur local n'a peut-être pas les informations de Registre ou les librairies requises pour afficher les messages émanant d'un ordinateur distant. Vous pourrez peut-être utiliser l'option /AUXSOURCE= pour récupérer cette description. Reportez-vous aux rubriques Aide et support pour plus de détails. Les informations suivantes font partie de l'événement : Le fichier

E:\Documents and Settings\Nico\Nico Temp\Temporary Internet Files\Content.IE5\4TO9YFOD\d.dialer2004[1].htm

est infecté par le virus MHTMLRedir.Exploit.; Impossible de r‚parer ce fichier..

 

03/05 à 23h53

La description pour l'ID d'événement ( 4097 ) dans la source (Norton AntiVirus) est introuvable. L'ordinateur local n'a peut-être pas les informations de Registre ou les librairies requises pour afficher les messages émanant d'un ordinateur distant. Vous pourrez peut-être utiliser l'option /AUXSOURCE= pour récupérer cette description. Reportez-vous aux rubriques Aide et support pour plus de détails. Les informations suivantes font partie de l'événement : Le fichier

E:\WINDOWS\system32\winproc32.exe

est infecté par le virus Trojan.StartPage.; Impossible de r‚parer ce fichier..

 

03/05 à 00h11

La description pour l'ID d'événement ( 4097 ) dans la source (Norton AntiVirus) est introuvable. L'ordinateur local n'a peut-être pas les informations de Registre ou les librairies requises pour afficher les messages émanant d'un ordinateur distant. Vous pourrez peut-être utiliser l'option /AUXSOURCE= pour récupérer cette description. Reportez-vous aux rubriques Aide et support pour plus de détails. Les informations suivantes font partie de l'événement : Le fichier

E:\WINDOWS\hxdefdrv.sys

est infecté par le virus Backdoor.HackDefender.; Impossible de r‚parer ce fichier..

 

Alors que dans l'onglet system, j'ai :

 

04/05 à 00h10

le service Norton Inteernet Security Acccount Manager s'est interrompu de façon innatendure pour la 1er fois

 

04/05 à 00h10

le service Norton Inteernet Security Proxy Service s'est interrompu de façon innatendure pour la 1er fois

 

Les fichier donné plus haut n'existe pas (ou plus !!) sur ma machine.

 

ma page de démarrage prend, à chaque redémarrage des noms étranges et différents du type: http://ncgnnk.outhost.info/

 

J'ai bien essayer de modifier ça dans la bdr, mais ça revient à chaque démarrage.

 

J'ai des screenshot des clés run de la bdr, ainsi qu'une liste de process, pour vous aider dans vos réponses.

 

Merci d'avance !!!

EDIT: AVG se lance sans pblm sous XP, mais pas Norton !!!

Modifié par Nicopio
Lien vers le commentaire
Partager sur d’autres sites

et si tu arrives a virer ta page de démarrage, verrouilles là grace à Spybot SD. Tu peux aussi protéger l'accès à ton Firewall et ton Antivirus par mot de passe, ca évite à une cochonnerie de te les désactiver.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir et merci pour cette réponse, mais cette nuit, j'ai lancé AdAware 6 et a² pour les trojans: rien !!! A croire que mon systeme est clean ;-(((

 

Pourtant, à chaque redémmarage ce foutu fichier hxdefdrv.sys se recrée et est infecté par backdoor.hacdefender. Je pense plus à une clé dans la BDR à virer pour éviter que ça ne recommence à chaque démarrage, mais quoi ???

Lien vers le commentaire
Partager sur d’autres sites

En faisant une recherche, je suis tombé sur ce lien : http://www3.ca.com/threatinfo/virusinfo/virus.aspx?ID=38058.

 

et dans la description, une partie qui parle de fichier .ini avec les reférences du trojan. j'ai fait une recherche sur mon DD et je trouve ce fichier winunins.ini qui contient ça:

[Hidden Table]

inatjoy.dll

motkrtin.dll

witadr.dll

winunins.exe

winunins.ini

svhost.exe

CWShredder*

HijackThis*

ProceXP*

Spybot*

msconfig*

 

[Root Processes]

svhost.exe

trj4j6js.exe

winunins.exe

 

[Hidden Services]

HackerDefender*

 

[Hidden RegKeys]

HackerDefender100

LEGACY_HACKERDEFENDER100

HackerDefenderDrv100

LEGACY_HACKERDEFENDERDRV100

 

[Hidden RegValues]

 

[startup Run]

E:\WINDOWS\svhost.exe -sr -0

 

[Free Space]

 

[Hidden Ports]

 

[settings]

Password=qweqwe

BackdoorShell=ddd.exe

FileMappingName=_.-=[PokuS]=-._

ServiceName=HackerDefender100

ServiceDisplayName=Windows System Uninstaller

ServiceDescription=Microsoft System Service

DriverName=HackerDefenderDrv100

DriverFileName=hxdefdrv.sys

 

Je pense qu'on s'approche ! qu'est-ce que ce fichier, puis-je trouve là une solution pour sortir de ma galère et si oui, la quelle ?

 

PS: sur la page dont je donne le lien, il me semble que je dois trouver un removaltool, mais frnachement, j'ai un peu de mal ce soir et je ne comprends pas le qeul prendre. Vous pourriez m'aider à "choisir" SVP ? Merci !!!

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Nicopio, BaK, zefilou, bonsoir à tous,

 

Renomme ce fichier winunins.ini en winunins-ini.txt

Pour moi, çà ressemble à une fichier paramètres pour joli virus !

Examine ton fichier Hosts... les jolis virus altèrent souvent ce fichier !

Est-ce que les fichiers dont parle ce fichier .INI sont sur ton disque :

svhost.exe

trj4j6js.exe

winunins.exe

Renomme ces fichiers ou sauve les dans un autre répertoire et supprime les !

-

As-tu ces clés dans ta base de registres :

HackerDefender100

LEGACY_HACKERDEFENDER100

HackerDefenderDrv100

LEGACY_HACKERDEFENDERDRV100

supprime !

-

E:\WINDOWS\svhost.exe -sr -0

As-tu ce fichier à cette adresse ? ton Windows est-il installé sur E: ?

 

Regarde ce que tu as dans les fichiers Win.ini (LOoad= Run=), System.ini (Shell=)

Lien vers le commentaire
Partager sur d’autres sites

Salut Ipl,

ha !! enfin une peu d'aide !!! (c'est pas une critique pour les autres, hein ! :P quand on sait pas vaut mieux se taire que de dire n'import quoi !!!) Bref, merci pour ta réponse !!!

Alors,

Renomme ce fichier winunins.ini en winunins-ini.txt

Je l'ai même deleté
svhost.exe

winunins.exe

oui, ceux là existaient. Maintenant je les ai fait trépasser !. par contre: trj4j6js.exe, lui n'existe pas !

 

Pour ce qui est de la bdr, en mode ss échec, il n'y a rein qui réponde au doux nom de hackdefender*. Par contre, en mode normal, comme bdr reste affichée qques secondes avnt de disparaitre, j'ai pu (par chance, puisque que ma dernière recherche suite aux indication de symantech (qui ne marchent pas !), m'ont fait refermer la bdr en mode ss echec sur la 1er clé commançant par h. Donc, en mode normal disais-je, j'ai eu le temps de supprimer le temps que la bdr apparaissse, les 2 clés (ça allait trop vite pour savoir ce qu'elle donnait exactement, mais ce qui est sur, c'est qu'elle parlait de hackdefender !).

 

E:\WINDOWS\svhost.exe -sr -0

As-tu ce fichier à cette adresse ? ton Windows est-il installé sur E: ?

Pour ça, oui Xp est bien sur E et ce fichier existait bien ! Comme il a été créé au moment de mon attaque, je l'ai viré.

Et pour finir, je n'ai même pas les section s que tu m'indique dans les fichiers .ini !!!... C'est normal, doc. ?

Lien vers le commentaire
Partager sur d’autres sites

Invité tesgaz

Salut,

 

sur les fichiers Win.ini ou system.ini, si tu n'a rien de ce qui est indiqué, c'est normal

 

commences par supprimer la restauration systeme sur XP,

 

ensuite pour la BDR, renommes ton fichier

regedit.exe en regedit.com pour qu'il reste ouvert et que tu puisses travailler dessus

C:\Windows\System32\regedit.exe

Lien vers le commentaire
Partager sur d’autres sites

Salut Tesgaz, et merci de ton aide.

 

Bon, je crois que je l'ai eu !!!! :P

Je vais faire quelques vérification set je vous tiens au courant, mais pour faire simple, suite à

Pour ce qui est de la bdr, en mode ss échec, il n'y a rein qui réponde au doux nom de hackdefender*. Par contre, en mode normal, comme bdr reste affichée qques secondes avnt de disparaitre, j'ai pu (par chance, puisque que ma dernière recherche suite aux indication de symantech (qui ne marchent pas !), m'ont fait refermer la bdr en mode ss echec sur la 1er clé commançant par h. Donc, en mode normal disais-je, j'ai eu le temps de supprimer le temps que la bdr apparaissse, les 2 clés...

E:\WINDOWS\svhost.exe -sr -0

As-tu ce fichier à cette adresse ? ton Windows est-il installé sur E: ?

 

Pour ça, oui Xp est bien sur E et ce fichier existait bien ! Comme il a été créé au moment de mon attaque, je l'ai viré.

,

 

j'ai pu redémarrer sous XP et miracle, mon NAV, mon FW, mon regedit et mon msconfig sont réapparus !!!! :-P:-P

 

A priori, donc j'ai récupérer mon system, mais je m'en assure et je vous tiens au courant pour pouvoir tagger: RESOLU !!! :-(

Lien vers le commentaire
Partager sur d’autres sites

Bien l'bonsoir !

 

Après cette deuxième grande victoire de la journée (l'OM gagne 2-0 !) un dernier post sur ce topic pour dire que je pense que les modos peuvent tagger résolu !!

 

Tout semble refonctionner correctement.

 

Rappel:

 

Infection par le trojan backdor.Hackdefender (Symantec, fréquence: rare !!! Hé ben, j'ai pas de chance! !!).

Symptome: plus de page internet accessible, plus de site non plus, même directement par des logiciels qui vont directement (via leur propre navigateur, ou moyen) télécharger des mises à jour, antivirus et FWall désactivé au démarrage et impossible à relancer en mode normal, regedit qui disparait au bout de 3 seconde (PS: au fait, merci Tesgaz pour ton astuce:

ensuite pour la BDR, renommes ton fichier

regedit.exe en regedit.com pour qu'il reste ouvert et que tu puisses travailler dessus

) et msconfig qui ne se lance pas du tout ! Fichiers crées: svhost.exe et hxdefdrv.sys dans c:/windows (si c: est la partition d'installation) et pour finir, 2 process situé là: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HackerDefenderxxx

 

Eradication: supprimer (à l'aide de l'astuce donnée par Tesgaz), le process et supprimer manuellement les 2 fichiers nommés plus haut dans c:/windows.

 

D'autres existent dans la bdr, mais ne semblent plus avoir d'importance (merci de votre confirmation, ceux qui savent):

 

HKEY_CLASSES_ROOT\Interface\{F248BC3A-15D1-11D1-A36A-00C04FB68D0E} reg_sz:IProcessDestroyHack

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F248BC3A-15D1-11D1-A36A-00C04FB68D0E} reg_sz:IProcessDestroyHack

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\IAM\FirewallObjects\IPFilterRules\Rule101 reg_sz:Blocage par défaut du cheval de Troie Whack-a-Mole + plein d'autres dans la même clé

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\HackerDefender100 reg_sz:service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\HackerDefender100 reg_sz:service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HACKERDEFENDER100 NextInstance; 0000 01 00 00 00

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HACKERDEFENDER100\0000 (avec plein de trucs dedans)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HACKERDEFENDERDRV100 (avec plein de trucs dedans)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\HackerDefender100 reg_sz:service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\HackerDefender100 reg_sz:service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HACKERDEFENDER100 NextInstance: 0000 01 00 00 00

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HACKERDEFENDER100\0000 (avec plein de trucs dedans)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HACKERDEFENDERDRV100 (avec plein de trucs dedans)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\HackerDefender100 (avec plein de trucs dedans)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\HackerDefenderDrv100 (avec plein de trucs dedans)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\HackerDefender100 reg_sz:service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\HackerDefender100 reg_sz:service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HACKERDEFENDER100 NextInstance: 0000 01 00 00 00

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HACKERDEFENDER100\0000 (avec plein de trucs dedans)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HACKERDEFENDERDRV100 (avec plein de trucs dedans)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HackerDefender100 reg_sz:service

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HackerDefender100 reg_sz:service

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HACKERDEFENDER100 (avec plein de trucs dedans)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HACKERDEFENDERDRV100 (avec plein de trucs dedans)

 

Voilà 2 liens que j'ai trouvé:

http://securityresponse.symantec.com/avcen...ckdefender.html

http://www3.ca.com/threatinfo/virusinfo/virus.aspx?ID=38058

 

La seule question qui me reste sans réponse est:

comment j'ai choppé cette saleté alors que j'ai un FW et un antivirus à jour et que 3 antivirus ne m'ont rien détecté (Norton, AVG7 et l'antivirus en ligne de Secuser.com) et que je naviguais quand cela m'est arrivé ???

 

Bonne soirée et merci à tous pour votre aide !

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...