Virus ou Free ?

[Thanos]

salut anianka

 

est ce que tu as essayé de fixer en mode normal cette ligne?:

 

C:\WINDOWS\System32\yaemu.exe

 

Elle réapparait dans ton log,as tu essayé de la virer manuellement en mode sans échec?

 

Concernant ces lignes:

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{7103B0CC-59C0-496F-A304-8EA6044C84B8}: NameServer = 69.50.177.204,85.255.112.25

 

Voilà ce qu'on peut trouver comme info=> pour l'ip:69.50.177.204

OrgName:    InterCage, Inc.

OrgID:      INTER-359

Address:    1955 Monument Blvd.

Address:    #236

City:      Concord

StateProv:  CA

PostalCode: 94520

Country:    US

 

Pour l'ip:85.255.112.25

inetnum:        85.255.112.0 - 85.255.113.255

netname:        inhoster

descr:          Inhoster hosting company

descr:          OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

 

J'imagine que ton fai n'est ni en Ukraine, ni aux states!

 

As tu tenté de les fixer?

Apres recherche,ces lignes 17 ne sont pas étonnantes=>tes problèmes de

 

connection sont surement dus à celles ci:

 

-yaemu.exe=WIN32.DNSCHANGER.S TROJAN

 

Anianka, télécharge donc si tu ne l'as pas déjà A² à l'adresse :

 

http://www.emsisoft.net/fr/software/download/

 

Prends A² Free et pas A²Personnal! Puis met le à jour et scanne ton pc en mode sans

 

échec.Poste le rapport .

Modifié le 6 octobre 2005 par charles ingals

[Anianka]

Salut,

 

Voici donc le nouveau rapport après avoir effectuer les manips en mode "normal"

 

Logfile of HijackThis v1.99.1

Scan saved at 01:28:04, on 07/10/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\MMDiag.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe

O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{E1EEFB18-6C2A-4832-96C4-C00D3869BC3F}: NameServer = 69.50.177.204 85.255.112.25

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Merci, à toi aussi de t'intéresser à mon cas, mais bon, de toute facon je pense je vais ré-installer Windows XP

 

A plus.

 

PS: D'ailleurs quelqu'un pourrait me donner une url vers l'utilitaire qui empeche au Verjesaisplusquoi, d'empêcher de rester connecté, vous savez celui qui met un p'tit compte à rebours etc... j'sais pas si je me fais bien comprendre là

[Thanos]

As tu fixé toutes les lignes 017?

 

je pense je vais ré-installer Windows XP icon_smile.gif

A cause de ce poblème de déconnection?dommage...

 

J'ai pas compris ton PS

[Anianka]

Ben, j'avais fixed toutes les lignes 017... mais à chaque fois que je refait un scan derrière y'en a une qui revient inlassablement.

 

Non, je parlais de ré-installer Windows XP, à cause du fait que je tourne sur une version crackée en ce moment, et que je ne peux donc pas faire les MàJ de Windows... de plus c'est pas bien

 

Jamais je fais un format c: pour un p'tit bug comme ca, j'ai eu plus relou comme virus, enfin ceux qui étaient là début 2005 s'en souviennent tellement j'ai pu les harceler pour me faire aider

 

Pour mon PS, en fait je cherche l'utilitaire qui permet de bloquer un Worm ou trojan, je ne sais plus quel est son nom, mais il avait eu son heure de gloire, il exploitait ue faille de Windows, et lorsque tu te connectait, une fenêtre apparaisait te demandant de sauver ton travail en cours, car ta connection allait être coupée dans <insérer temps restant>... un truc bien bien chiant.

 

Merci.

[Thanos]

salut Anianka

 

Tu fais surement allusion au virus Lovesan? qui te colle un joli compte à rebours+des

 

redémarrages intempestifs!Le problème étant qu'il exploite une faille du systeme(qui a

 

été "colmatée" le 15/08/05)qui empêche Windows update de s'éxécuter!

 

Une des clés que l'on trouve dans le registre,s'il s'agit bien de lovesan:

 

-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Run "windows auto update" = msblast.exe

 

-msblast.exe dans WINDOWS/SYSTEM32

 

Jette toujours un oeil on ne sait jamais!

j'ai eu plus relou comme virus, enfin ceux qui étaient là début 2005 s'en souviennent tellement j'ai pu les harceler pour me faire aider

 

Je me souviens tres bien de cette désinfection!!Un boulot remarquable,effectué par

 

l'ami Queruak entre autres (je l'ai retrouvé en cherchant sur google )

 

Il y a des removal tools contre lovesan(si c'est lui!) ici

par exemple.

 

@+

[Anianka]

Salut,

 

Oui, c'est bien msblast auquel je faisait référence... mais il est bel et bien neutralisé

 

Bref, le problème que je note, avec mon rapport Hijackthis, concernant la ligne O17 - HKLM\System\CCS\Services\Tcpip\..\{E1EEFB18-6C2A-4832-96C4-C00D3869BC3F}: NameServer = 69.50.177.204 85.255.112.25, c'est:

 

Premièrement elle est récursive, c'est à dire que si je la Fix, elle revient au prochain reboot PC (à l'origine y'en avait 6, maintenant y'en à plus que une, c'est déjà un progrès en soit).

 

Ensuite, quand je la Fix, je perd ma connect, c'est à dire que je ne peux plus me connecter à rien, toutes les pages Web deviennent impossibles à afficher (traditionnelle page d'erreur mais pas une 404).

 

En gros c'est soit, je laisse la ligne O17, et je peux surfer sans subir de ralentissements, mais je ne peux rien faire qui soit jeux online, téléchargement sans passer d'un 1024 à un 28k, soit je Fix la ligne O17 et je peux tout simplement plus accéder à Internet.

 

J'ai tenté des rest-system, plusieures, ca échoue à chaque fois.

 

J'ai tenté de ré-installer Windows avec les CD de restaurations fournies, je ne parviens pas à le faire... en fait le CD de rest ne se lacne pas, il ne me propose rien.

 

Dans mon BIOS j'ai pas l'onglet "Advanced BIOS" (enfin un truc dans le style), qui pourrait me permettre de lancer le CD de restauration au démarrage.

 

Bref, c'est assez contraignant

[megataupe]

Bonjour anianka. Bizarre ces IP qui renvoient sur :

 

1-OrgName: InterCage, Inc.

OrgID: INTER-359

Address: 1955 Monument Blvd.

Address: #236

City: Concord

StateProv: CA

PostalCode: 94520

Country: US

 

2-inetnum: 85.255.112.0 - 85.255.113.255

netname: inhoster

descr: Inhoster hosting company

descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

 

Je ne pense pas que ce sont tes FAI. Tu vas télécharger Hoster ici :

 

http://www.funkytoad.com/hoster.htm

 

Redémarrer ton PC en mode sans échec, puis tu lances Hoster et tu cliques uniquement sur l'onglet Restore Original Hosts. Tu redémarres le PC en mode normal et tu postes un nouveau rapport Hijackthis.

[Anianka]

Salut megataupe,

 

Voilà le rapport après avoir lancé Hoster en Mode sans échec, et avoir cliqué sur "Restore Original Host":

Logfile of HijackThis v1.99.1

Scan saved at 19:17:35, on 09/10/2005

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Et ca c'est celui après avoir effectué les mêmes actions, mais c'est le scan d'Hijackthis en mode normal:

 

Logfile of HijackThis v1.99.1

Scan saved at 19:24:44, on 09/10/2005

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

c:\program files\mcafee.com\agent\mcagent.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\notepad.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{E1EEFB18-6C2A-4832-96C4-C00D3869BC3F}: NameServer = 69.50.177.204 85.255.112.25

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Elle y est toujours

[Jack_Burton]

Oui et je ne comprends toujours pas pourquoi.

Je viens de voir via google que cette ligne 017 n était pas inconnue. Sur tous les rapports ou elle apparait, il a suffit de la fixer pour qu elle n apparaisse plus

 

Mais je ne désespere pas, nous finirons bien par l éradiquer

Modifié le 9 octobre 2005 par Jack_Burton

[Anianka]

Je vous fais confiance

 

Remarque: je peux la fixer, mais je pourrais plus accéder au Web, et si je reboot elle revient et j'ai de nouveau accès au Web ... gargl.