Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

fraggy

[résolu]Rapport HijackThis sur pc infecté

Messages recommandés

Re, J analyse ton rapport, réponse dans un petit moment!

 

Par contre, j'ai relancé un scan avec Antivir et il voit toujours le cheval de troie dans rdriv.sys icon_confused.gif Je l'ai bien sûr supprimé. Ça doit marcher cette fois?

Attends la procédure de nettoyage de ton 2emePC, apres on verra cela :P Une chose apres l autre. Je préfere avancer lentement mais surement :P

Une fois que tes 2 rapports seront propres nous nous occuperons de ce probleme !

Partager ce message


Lien à poster
Partager sur d’autres sites

Re,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Dans le menu Demarrer>Executer >tape: Services.msc

 

Recherche le service avec cette orthographe exacte:

-Windows Updates

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: RAID Tool.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

O23 - Service: Windows Updates - Unknown owner - C:\WINDOWS\windowsupdates.exe<--- il est possible que cette ligne n apparaisse pas du fait que l on a stoppé le service en question

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

6/ Supprime le fichier incriminé (s'il existe encore) par l'Explorateur Windows :

-C:\WINDOWS\windowsupdates.exe

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Partager ce message


Lien à poster
Partager sur d’autres sites

Voici le dernier rapport pour pc n°2

 

Logfile of HijackThis v1.99.1

Scan saved at 14:58:34, on 16/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

Thanks

 

fraggy

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour le pc n°1, j'ai donc supprimé l'intrus avec Antivir, rebooté, puis relancé un scan. Apparemment, il ne le voit plus, mais... il trouve WINDOWSUPDATES.EXE.VIR qui contient "an unusual runtime compression tool (PCK/MEW)" et demande de vérifier l'origine, et s'il faut le supprimer.

 

Voilà...

 

A +

 

fraggy

Partager ce message


Lien à poster
Partager sur d’autres sites

Re,

 

il trouve WINDOWSUPDATES.EXE.VIR qui contient "an unusual runtime compression tool (PCK/MEW)" et demande de vérifier l'origine, et s'il faut le supprimer.

 

Peux tu me donner l emplacement exact de ce fichier que te détecte Antivir je te prie?

Modifié par Jack_Burton

Partager ce message


Lien à poster
Partager sur d’autres sites

Re,

 

L'emplacement exact est D:\Program Files\AVPersonal\windowsupdates.exe.vir

Ce n est pas du tout un fichier légitime d Antivir! Il est vraisemblablement infectueux !!

 

Scanne ce fichier avec le virusscan de jotti et colle moi le rapport je te prie!

Modifié par Jack_Burton

Partager ce message


Lien à poster
Partager sur d’autres sites

J'y crois pas!!!!!

 

Service

Service load: 0% 100%

 

File: WINDOWSUPDATES.EXE.VIR

Status: INFECTED/MALWARE

MD5 676dd0e2fe8fe08857a9912b2a12655c

Packers detected: PE_PATCH, MEWBUNDLE, MEW

Scanner results

AntiVir Found Packer/MEW

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found IRC/BackDoor.SdBot.LQF

BitDefender Found Backdoor.SDBot.BD045FAA

ClamAV Found Worm.Mytob.GH

Dr.Web Found Win32.HLLW.MyBot.based

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found Backdoor.Win32.SdBot.xd

NOD32 Found a variant of IRC/SdBot

Norman Virus Control Found W32/Suspicious_M.gen

UNA Found nothing

VBA32 Found nothing

 

Dans l'attente de ton avis....

 

fraggy

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...