Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

fraggy

Virus... rapport HijackThis

Messages recommandés

Bonjour à tous,

 

Grosse boulette... j'ai ouvert un email infecté :P Je n'ai pas fait plus attention car l'expéditeur été connu. J'ai ouvert l'archive... et quand j'ai tilté, bien sûr c'était trop tard :P

Maintenant ils arrivent même à mettre des noms connus comme expéditeur :-P

 

Bref, 24h après, grosse cata. Dès que le PC démarre, il ne lance pas Antivir ni Zone Alarm, on ne peut ouvrir aucune application, et au bout d'une min, un compte à rebours d'arrêt du système commence, notant une erreur n°128 du fichier D:\windows\system32\services.exe.

 

J'ai appliqué la procédure de pré-désinfection.

Antivir ne trouve rien en mode sans échec... et voici le rapport HijackThis, que j'ai juste eu le temps d'imprimer pour le taper à la main sur un autre PC. J'espère n'avoir fait aucune erreur de frappe.

 

Logfile of HijackThis v1.99.1

Scan saved at 10:29:06, on 04/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\System32\winlogon.exe

D:\WINDOWS\System32\services.exe

D:\WINDOWS\System32\lsass.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - D:\Program Files\Copernic Agent\CopernicAgentExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" - lang 1033

O4 - HKLM\..\Run: [AVGCtrl] "D:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [auto__hloader__key] D:\WINDOWS\System32\hloader_exe.exe

O4 - HKLM\..\Run: [auto__antiav__key] D:\WINDOWS\System32\antiav_exe.exe

O4 - HKLM\..\Run: [siabcs] D:\Program Files\Steganos Internet Anonym 2\siabcs.exe

O4 - HKLM\..\Run: [spyware Doctor] "D:\Program Files\Spyware Doctor\swdoctor.exe" /Q

O4 - HKLM\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [auto__hloader__key] D:\WINDOWS\System32\hloader_exe.exe

O4 - HKLM\..\Run: [auto__antiav__key] D:\WINDOWS\System32\antiav_exe.exe

O8 - Extra context menu item: Chercher avec Copernic Agent - D:\Program Files\Copernic Agent\Web\SearchExt.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRAM~1\MICRO~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - D:\PROGRAM~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - D:\PROGRAM~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - D:\PROGRAM~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Program Files\AIM95\aim.exe

012 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130079873928

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Antivir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: GhostStartService - Symantec Corporation - D:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Sone Labs, LLC - D:\WINDOWS\system32\ZONELABS\vsmon.exe

 

Voilà...

D'avance merci du temps que vous voudrez bien consacrer à ce problème

 

A+

 

fraggy

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

Effectivement, tu es infecté, j analyse ton rapport, réponse dans un moment!

 

Re,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O4 - HKLM\..\Run: [auto__hloader__key] D:\WINDOWS\System32\hloader_exe.exe

O4 - HKLM\..\Run: [auto__antiav__key] D:\WINDOWS\System32\antiav_exe.exe

O4 - HKLM\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [auto__hloader__key] D:\WINDOWS\System32\hloader_exe.exe

O4 - HKLM\..\Run: [auto__antiav__key] D:\WINDOWS\System32\antiav_exe.exe

 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130079873928

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-D:\WINDOWS\System32\hloader_exe.exe

-D:\WINDOWS\System32\antiav_exe.exe

 

6/ Nettoyage du ver dans la base de registre:

 

Démarrer -> Exécuter -> tape regedit et va successivement :

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

[auto__hloader__key] D:\WINDOWS\System32\hloader_exe.exe<--- supprime si présent

[auto__antiav__key] D:\WINDOWS\System32\antiav_exe.exe<--- supprime si présent

 

Ferme ensuite le registre.

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Bon app a tous, a tout a l heure :P

Partager ce message


Lien à poster
Partager sur d’autres sites

salut Jack :P ,fraggy

 

Pour supprimer le compte à rebours : demarrer -> executer, tape: shutdown -a

 

et suis la procédure de Jack.

 

Ca peut être la cause de Sasser cette erreur 128... Une faille de sécurité dans windows qui à été comblée(ton

 

système n'est pas à jour)

 

Ceci à télécharger:

 

http://www.microsoft.com/downloads/details...&displaylang=fr

 

(un vieux post sur lequel j'ai remis la main! merci à angélique :P )

Modifié par charles ingals

Partager ce message


Lien à poster
Partager sur d’autres sites

salut Jack :P ,fraggy

 

Pour supprimer le compte à rebours : demarrer -> executer, tape: shutdown -a

 

et suis la procédure de Jack.

Bonjour Charly :P

 

Arf, j ai oublié de préciser cette commande, désolé de cet oubli fraggy, et merci a Charles pour l avoir mentionné!

J étais tellement pris par le rapport que je n ai plus fait attention au titre de la discussion et de la présence d un compte a rebours! Encore désolé !

Partager ce message


Lien à poster
Partager sur d’autres sites

Hello Jeck, Charles,

 

Bien, j'ai appliqué la procédure, y compris le patch de sécurité pour windows.

 

Par contre, regedit est introuvable, en mode sans échec comme en normal, donc je n'ai pas pu aller dans le registre et supprimer les 2 lignes.

 

Voici le dernier rapport:

 

Logfile of HijackThis v1.99.1

Scan saved at 13:54:27, on 04/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\LEXBCES.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\LEXPPS.EXE

D:\WINDOWS\Explorer.EXE

D:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\ZONELABS\vsmon.exe

D:\Program Files\D-Tools\daemon.exe

D:\Program Files\Steganos Internet Anonym 2\siabcs.exe

D:\Program Files\Spyware Doctor\swdoctor.exe

D:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - D:\Program Files\Copernic Agent\CopernicAgentExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [AVGCtrl] "D:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKCU\..\Run: [siabcs] D:\Program Files\Steganos Internet Anonym 2\siabcs.exe

O4 - HKCU\..\Run: [spyware Doctor] "D:\Program Files\Spyware Doctor\swdoctor.exe" /Q

O8 - Extra context menu item: Chercher avec Copernic Agent - D:\Program Files\Copernic Agent\Web\SearchExt.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - D:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - D:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - D:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Program Files\AIM95\aim.exe

O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: GhostStartService - Symantec Corporation - D:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZONELABS\vsmon.exe

 

Dans l'ensemble, ça a l'air de tourner.

 

Merci et a+

 

fraggy

Partager ce message


Lien à poster
Partager sur d’autres sites

Re,

 

Ton rapport est a présent propre!

 

Par contre, regedit est introuvable, en mode sans échec comme en normal, donc je n'ai pas pu aller dans le registre et supprimer les 2 lignes.

Ce sont les lignes qui n étaient pas présentes (fort possible!) ou le logiciel regedit (pas normal!)???

Modifié par Jack_Burton

Partager ce message


Lien à poster
Partager sur d’autres sites

Re jack,

 

Ce sont les lignes qui n étaient pas présentes (fort possible!) ou le logiciel regedit???

 

Non, quand je tape "regedit" dans "exécuter", j'ai un message qui dit que la commande est introuvable :P

 

A+

 

fraggy

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×