Prob virus

[queruak]

Bonjour à tous,

 

Tu dois d'abord télécharger les outils suivants:

 

-A²free:http://www.emsisoft.net/fr/software/free/

- Ad-aware:

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

- Spybot:

http://www.safer-networking.org/fr/download/index.html

 

Ces utilitaires bien mis à jour avant examen.

 

 

1.Une fois ces outils téléchargés et bien mis à jour,tu démarre directement en mode sans echec.

 

Lance Hijackthis,scan,coche puis "Fixcheked" les lignes en gras ci-dessous:

Toutes les fenetres Internet Explorer,Outlook Express etant fermées.Aucune application lancée.

 

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://olweb.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{53839B51-AABC-400F-BB11-A3DF1D56C11B}: NameServer = 80.10.246.1 80.10.246.132

O17 - HKLM\System\CS1\Services\Tcpip\..\{53839B51-AABC-400F-BB11-A3DF1D56C11B}: NameServer = 80.10.246.1 80.10.246.132

 

2.Affiche tous les fichiers

Depuis l'explorateur de Windows,

Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

 

2.1.Supprime les fichiers suivants:

 

C--->WINDOWS--->system32--->fservice.exe

 

C--->WINDOWS--->services.exe

 

Je m'arrete un peu ,parcequ'apparrement tu bute ici.

 

Tu n'as qu'à suivre le chemin pour retrouver ces fichiers,et j'insiste,fais bien attention à la syntaxe.

 

-Pour le premier(fservice.exe):tu ouvre C,puis le repertoire Windows,ensuite tu vas dans system32.Une fois dans ce repertoire,tu peux utiliser la fonction "Rechercher"(la loupe dans le menu)--<une fois le fichier affiché--->tu supprime.

 

-Pour le second(services.exe):meme procedure,mais une difference de taille,ce fichier à supprimer est dans le répertoire WINDOWS.

 

2.2.Supprime les fichiers inutiles dans les répertoires Temp,

celui de C:\Documents and Settings\ton-ID\Local Settings\Temp

C:\Documents and Settings\autresID\Local Settings\Temp

et celui de C:\Windows\Temp

-Supprimer tous les fichiers de Temporary Internet Files via

Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers .

-Supprime les Cookies .

-Vide la corbeille

 

2.3.Passe A²free,Ad-aware,puis Spybot--------->Tu supprime tout ce qu'il trouveront.

 

3.Redémarrer,poster un nouveau log Hijackthis.

[queruak]

Bonjour,

 

je viens de lire tout le post...et il me semble (je peut avoir tort) qu'on confond

 

service.exe avec services.exe

le premier etant :

Process File: service or service.exe

Process Name: Worm.Win32.Raleka virus.

 

le second:

Process File: services or services.exe

Process Name: Windows Service Controller

 

@+

415162[/snapback]

 

Merci d'avoir posté.

Je ne confond rien,

Tu es d'accord que:

fservice.exe est illégetime,et n'existe pas d'origine dans Windows

et que

services.exe dont il est question dans le rapport ici n'est pas légitime.

Pourquoi,parceque le légitime est dans C:\WINDOWS\system32\services.exe,

alors que celui-ci est dans C:\WINDOWS\services.exe

 

 

C'est pour cette raison,que j'insiste pour faire attention à la syntaxe

 

Voic les processus chez ibiscus(c'est son rapport)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe ---------------------->Le bon services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\System32\GEARSec.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\services.exe-------------------------------->Le méchant services.exe

C:\WINDOWS\System32\msiexec.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\Messenger\MSMSGS.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\alain\Mes documents\Telechargé\HijackThis.exe

C:\WINDOWS\System32\svchost.exe

Modifié le 31 octobre 2004 par molaire

[megataupe]

Bonjour aux chasseurs de cafards. Bien vu de nouveau Molaire. MacAfee préconise d'utiliser Stinger pour nettoyer une variante de ce Worm W32 :

 

http://fr.mcafee.com/virusInfo/default.asp...&virus_k=127033

[O.Fournier]

Hé, hé : il est pas mal le duo Megataupe-Molaire Ouf, serait-ce la relève, enfin ?

 

Reposant, n'est-ce pas Gérard/IPL ? ALLEZ LES PETITS !!!!

[stin07bis]

salut à tous, en effet molaire, t'a raison.... si j'ai mis ce post, c'est qu'on confond très vite ces exes...@+

[Ibiscus]

BONJOUR,

 

je suis en trin d'instaler tout ca.

Mais je croyais que pespatrol était mieu que ad-aware.

Bon je fait tout ca et je reviens

[Ibiscus]

Bonjour Molaire,

 

Logfile of HijackThis v1.98.2

Scan saved at 15:01:49, on 31/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\System32\GEARSec.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\services.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\a2\a2guard.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Documents and Settings\alain\Mes documents\Telechargé\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://olweb.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

 

Alors le prob c'est que quand je suprime:

 

1-C:\WINDOWS\system32\services.exe, l'icone réaparait Quasi immédiatement'et quand je l'envoit dans la corbeille il y va mais reste quand meme et par la loupe idem

2-C--->WINDOWS--->services.exe, il refuse de la suprimer (utiliser par une autre source)

(meme en mode sans echec)

 

Le scan détecte aussi le dossier: C:\windows\systeme\sservice.exe

 

J'espere avoir été clair

 

PS: j'ai remarqué que les mises à jour sp1 apparaisse dans "ajout supression prog" mais sans la taille (l'instalation avait bloquéé au milieu).

 

@++

Modifié le 31 octobre 2004 par Ibiscus

[queruak]

bonsoir,

 

00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

 

Alors le prob c'est que quand je suprime:

 

1-C:\WINDOWS\system32\services.exe, l'icone réaparait Quasi immédiatement'et quand je l'envoit dans la corbeille il y va mais reste quand meme et par la loupe idem

2-C--->WINDOWS--->services.exe, il refuse de la suprimer (utiliser par une autre source)

(meme en mode sans echec)

 

Le scan détecte aussi le dossier:  C:\windows\systeme\sservice.exe

 

J'espere avoir été clair :roll:

 

PS: j'ai remarqué que les mises à jour sp1 apparaisse dans "ajout supression prog" mais sans la taille  (l'instalation avait bloquéé au milieu).

 

  @++

415338[/snapback]

 

Quand je lis ce que tu ecris,j'ai des frissons dans le dos.Je ne sais pas si je dois te faire confiance pour les manoeuvres suivantes ou pas,tu cite un fichier legitime,

que tu veux supprimer.J'ai utilisé des couleurs,exprés.

 

 

Je le redis encore une fois attention à la syntaxe

 

-Sur hjt,fixe cette ligne:

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

 

-On va supprimer ces fichiers comme ça:

 

télécharge TheKIllBox ici

 

http://download.broadbandmedic.com/VbStuff/KillBox.zip

 

Pose-le dans un dossier dédié et décompresse-le. Lance-le.

 

Dans "Paste full path of file.." ->copie/colle:le nom du fichier à supprimer

Ensuite decoche "create a backup before killing"

et Fais "find and kill this file".

 

Tu fais cette manoeuvre pour ces trois fichiers,et seulement pour ces trois fichiers:

 

C:\WINDOWS\services.exe

 

C:\WINDOWS\system32\fservice.exe

 

C:\windows\systeme\sservice.exe

 

a+++

Modifié le 31 octobre 2004 par molaire

[Ibiscus]

Ne t'inquiete pas j'ai fait exactement ce que tu m'as dit.

Mais quand je suprime les 2 fichiers que tu me dit ils restent

J'ai rien fait d'autre.

Le liens killbox ne marche pas

Modifié le 31 octobre 2004 par Ibiscus

[megataupe]

Salut les joyeux compères. A la place du killbox, tu peux utiliser un autre "tueur" de processus, voir ici :

 

http://forum.zebulon.fr/index.php?showtopic=51802