Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

virus effacé...revient


Quezac09

Messages recommandés

oups pardon pour le rapport.

pour les reste, j'ai tout suivi à la lettre.

 

Logfile of HijackThis v1.99.1

Scan saved at 15:36:28, on 26/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

D:\Antivir\AVGNT.EXE

C:\WINDOWS\System32\sc.exe

C:\WINDOWS\System32\netsh.exe

D:\Hijack This\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com

O4 - HKLM\..\Run: [AVGCtrl] D:\Antivir\AVGNT.EXE /min

O4 - HKLM\..\Run: [mzrxwjhdsdwcmcsqph] C:\WINDOWS\System32\dgrwcewnimsd.exe

O4 - Startup: AMSN.lnk = D:\aMsn\amsn.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\ANTIVIR\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Lien vers le commentaire
Partager sur d’autres sites

Je ne peux pas rester pour terminer la désinfection, je ne suis pas chez moi par conséquent je ne peux pas monopoliser l ordinateur (je ne rentrerai qu en fin de semaine).

 

Ton cas est intéressant car ce virus qui réapparait avec un autre nom est peu fréquent (en tout cas je n ai jamais eu affaire a cela ). Cela va nous (membres de zebulons) a innover sur ce coup ci (ce qui n est pas plus mal, cela nous change de la routine habituelle :P )

 

Pour le moment, faute d information et de temps applique cette procédure pour supprimer une nouvelle bestiole sc.exe

 

1/ Démarre en mode sans échec

 

2/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

3/ Désinstalle via "panneau de configuration/suppression de programmes" le logiciel suivant si présent:

-Watchdog 2.0 Software

ou

- Rhombus Watchdog 2.0

 

4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com

 

O4 - HKLM\..\Run: [mzrxwjhdsdwcmcsqph] C:\WINDOWS\System32\dgrwcewnimsd.exe

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked"

 

5/ Supprime les fichiers et dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

-C:\WINDOWS\System32\dgrwcewnimsd.exe

-C:\WINDOWS\System32\sc.exe

-C:\Program Files\Watchdog Software ou Rhombus Watchdog ou un nom presque similaire avec les mots Rhombus et/ou Watchdog

 

6/ Nettoyage du vers dans la base de registre:

Tu vas dans "Démarrer" puis "Exécuter", tape regedit et va successivement à :

 

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- [mzrxwjhdsdwcmcsqph] <---supprime si présent

 

Ferme ensuite le registre.

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

-C:\WINDOWS\System32\sc.exe

 

il ne faut pas supprimer cette ligne, c'est un programme de Windows qui permet de créer, d'arrêter des services, ou meme de démarrer un fichier vérolé -( le cas ici cetainement)

 

même si le problème vient de là, je vois également la commande netsh qui est indiqué en haut dans le log (netsh) permet de modifier les connexion réseau

 

dans un premier temps, il serait bon d'interdire ces 2 programme de communiquer avec internet grace au pare-feu

éventuellement, démarrer en mode sans echec et leur interdire tout les droits serait encore plus judicieux

 

ensuite faire une recherche de la base de registre sur des valeurs comme :

 

sc create

sc share

 

pour en dire un peu plus sur l'infection

Lien vers le commentaire
Partager sur d’autres sites

bon j ai fini par trouvé http://forum.zebulon.fr/index.php?act=Post...02&f=40&t=75692

 

tu es apparemment infecté par W32.Serflog.C d ou la ligne :

 

O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com

 

Je cherche une procédure

 

il ne faut pas supprimer cette ligne, c'est un programme de Windows qui permet de créer, d'arrêter des services, ou meme de démarrer un fichier vérolé -( le cas ici cetainement)

 

ce exe peut etre également un spyware/adware (voir ici ,

ici ou bien ici )

 

Pour le moment je te demande de mettre en attente la procédure Quezac09

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

désolé Quezac09

 

Je ne pourrais pas te faire la procédure ce soir, je dois laisser le pc (n étant pas chez moi, je ne peux pas utiliser le pc constamment).

J essayerai de revenir demain pour éditer une nouvelle procédure, d ici la mes amis zebuloniens auront certainement pris la releve :P

 

Edit : bonsoir megataupe :P

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

Essais de suivre cette procedure avec leur outil:

http://www.symantec.com/region/fr/techsupp...moval.tool.html

Suivez ces étapes pour télécharger et exécuter l'outil :

1-Téléchargez le fichier FixSflog.exe à partir de : http://securityresponse.symantec.com/avcenter/FixSflog.exe

2-Enregistrez le fichier à un emplacement commode, tel que votre bureau Windows.

3-Facultatif : Pour vérifier l'authenticité de la signature numérique, reportez-vous à la section de cet article intitulée "Signature numérique".

4- [...]etc...

 

 

Si ceci ne fonctionne pas fait ceci:

 

télécharge cet outil ici tu l'utilisera ensuite:

http://www.accs-net.com/hosts/Downloads/hosts127001.zip

 

Terminer les processus suivant (pour terminer un processus il faut appuyer en même temps sur les 3 touches suivante : Ctrl+Alt+Suppr puis allez dans l’onglet processus, sélectionner les processus ci-dessous un par un et appuyer sur la touche terminer le processus) :

 

C:\WINDOWS\System32\sc.exe

C:\WINDOWS\System32\netsh.exe

 

Démarrer le logiciel HijackThis hijackthis_big.gif et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

 

O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com

O4 - HKLM\..\Run: [mzrxwjhdsdwcmcsqph] C:\WINDOWS\System32\dgrwcewnimsd.exe

O4 - Startup: AMSN.lnk = D:\aMsn\amsn.exe

 

Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

Toujours sur Hijackthis > Config >Misc tools > delete a file on reboot.

Entrer ce chemin:

C:\WINDOWS\System32\dgrwcewnimsd.exe

 

Redémarrer en mode sans echec (appuyer sur F8 ou F5 lors du démarrage)

 

hosts127001.zip

Décompressez-le et placez-le dans le bon répertoire, comme indiqué ci-après. Votre fichier hosts s’appelle hosts (il n’a pas d’extension) et se trouve à :

Windows XP Home/XP Pro : c :\windows\system32\drivers\etc\hosts

(ceci doit remplacer le fichier existant contaminé)

 

Ensuite aller dans l’ Explorateur Windows et afficher tous les fichiers cachés:

Dans une fenêtre de l'explorateur Windows, cliquez sur le menu "Outils" et choisissez "Options des dossiers...".

Affichez l'onglet "Affichage" et sélectionnez l'option "Afficher les fichiers et dossiers cachés"

caches.gif

Cliquer sur « Appliquer ». Fermer la fenêtre d'options en cliquant "OK".

En image ici

 

et supprimer les fichiers ci dessous si ils sont présent :

 

C\temp\ <-- supprimer tout le contenu du dossier

C:\windows\temp\ <-- supprimer tout le contenu du dossier

C:\windows\Downloaded Program Files\ <-- supprimer tout le contenu du dossier

C:\Documents and settings\Tous les identifiants\application data\Sun\Java\Deployment\cache\javapi1.0\jar\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\ Tous les identifiants\Local Settings\Temporary Internet Files\ <-- supprimer tout le contenu du dossier

Fichier temporaire internet:

Démarrer/panneau de configuration/options internet

--> button supprimer cookies

--> button supprimer fichier temporaire internet

Fichiers temporaries : Démarrer/exécuter " CleanMgr "

Cocher tout sauf :

Compression des fichiers non utilisés

Fichiers catalogue d’indexation du contenu

/ OK / OUI

 

Dans l'Explorateur Windows recacher les fichiers systeme afin de ne pas faire d'erreur a l'avenir:

Retournez à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>.

 

Redémarrer normalement,

 

afin d'avoir plus d'élément sur ce "vilain" fait ceci:

 

Télécharger http://www.bleepingcomputer.com/files/regsearch.php

 

- dézipper dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle le nom « mzrxwjhdsdwcmcsqph » Service dans la zone de recherche et clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

puis idem avec "dgrwcewnimsd.exe"

 

Faire un scan en ligne chez Ravantivirus(mettre un fausse adresse email ou une adresse hotmail):

http://www.ravantivirus.com/scan/

jusqu'à ce que "ready to scan" apparaisse

cela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg

Tu cliques ensuite sur "scan my pc" (étape 3 de l'image)

A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici

 

Ou celui la

PANDA si tu n'y arrive pas : tutorial

 

EWIDO

Télécharge, installe, mets à jour et exécute cet utilitaire.

http://www.ewido.net/en/download/

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, sauver le rapport (Fichier/Enregistrer sous...) puis le mettre ici.

 

Puis reviens mettre un rapport Hijackthis smiley_520.gif

Modifié par BipBip07
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...