Virus... rapport HijackThis

[fraggy]

Bonjour à tous,

 

Grosse boulette... j'ai ouvert un email infecté Je n'ai pas fait plus attention car l'expéditeur été connu. J'ai ouvert l'archive... et quand j'ai tilté, bien sûr c'était trop tard

Maintenant ils arrivent même à mettre des noms connus comme expéditeur

 

Bref, 24h après, grosse cata. Dès que le PC démarre, il ne lance pas Antivir ni Zone Alarm, on ne peut ouvrir aucune application, et au bout d'une min, un compte à rebours d'arrêt du système commence, notant une erreur n°128 du fichier D:\windows\system32\services.exe.

 

J'ai appliqué la procédure de pré-désinfection.

Antivir ne trouve rien en mode sans échec... et voici le rapport HijackThis, que j'ai juste eu le temps d'imprimer pour le taper à la main sur un autre PC. J'espère n'avoir fait aucune erreur de frappe.

 

Logfile of HijackThis v1.99.1

Scan saved at 10:29:06, on 04/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\System32\winlogon.exe

D:\WINDOWS\System32\services.exe

D:\WINDOWS\System32\lsass.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - D:\Program Files\Copernic Agent\CopernicAgentExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" - lang 1033

O4 - HKLM\..\Run: [AVGCtrl] "D:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [auto__hloader__key] D:\WINDOWS\System32\hloader_exe.exe

O4 - HKLM\..\Run: [auto__antiav__key] D:\WINDOWS\System32\antiav_exe.exe

O4 - HKLM\..\Run: [siabcs] D:\Program Files\Steganos Internet Anonym 2\siabcs.exe

O4 - HKLM\..\Run: [spyware Doctor] "D:\Program Files\Spyware Doctor\swdoctor.exe" /Q

O4 - HKLM\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [auto__hloader__key] D:\WINDOWS\System32\hloader_exe.exe

O4 - HKLM\..\Run: [auto__antiav__key] D:\WINDOWS\System32\antiav_exe.exe

O8 - Extra context menu item: Chercher avec Copernic Agent - D:\Program Files\Copernic Agent\Web\SearchExt.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRAM~1\MICRO~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - D:\PROGRAM~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - D:\PROGRAM~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - D:\PROGRAM~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Program Files\AIM95\aim.exe

012 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130079873928

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Antivir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: GhostStartService - Symantec Corporation - D:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Sone Labs, LLC - D:\WINDOWS\system32\ZONELABS\vsmon.exe

 

Voilà...

D'avance merci du temps que vous voudrez bien consacrer à ce problème

 

A+

 

fraggy

[Jack_Burton]

Bonjour,

 

Effectivement, tu es infecté, j analyse ton rapport, réponse dans un moment!

 

Re,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O4 - HKLM\..\Run: [auto__hloader__key] D:\WINDOWS\System32\hloader_exe.exe

O4 - HKLM\..\Run: [auto__antiav__key] D:\WINDOWS\System32\antiav_exe.exe

O4 - HKLM\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [auto__hloader__key] D:\WINDOWS\System32\hloader_exe.exe

O4 - HKLM\..\Run: [auto__antiav__key] D:\WINDOWS\System32\antiav_exe.exe

 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130079873928

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-D:\WINDOWS\System32\hloader_exe.exe

-D:\WINDOWS\System32\antiav_exe.exe

 

6/ Nettoyage du ver dans la base de registre:

 

Démarrer -> Exécuter -> tape regedit et va successivement :

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

[auto__hloader__key] D:\WINDOWS\System32\hloader_exe.exe<--- supprime si présent

[auto__antiav__key] D:\WINDOWS\System32\antiav_exe.exe<--- supprime si présent

 

Ferme ensuite le registre.

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Bon app a tous, a tout a l heure

[fraggy]

Salut Jack,

 

Merci pour ta réponse et surtout sa rapidité!!!!!

 

Je suis tout ça à la lettre et te tiens au courant dans un moment.

 

A+

 

fraggy

[Thanos]

salut Jack ,fraggy

 

Pour supprimer le compte à rebours : demarrer -> executer, tape: shutdown -a

 

et suis la procédure de Jack.

 

Ca peut être la cause de Sasser cette erreur 128... Une faille de sécurité dans windows qui à été comblée(ton

 

système n'est pas à jour)

 

Ceci à télécharger:

 

http://www.microsoft.com/downloads/details...&displaylang=fr

 

(un vieux post sur lequel j'ai remis la main! merci à angélique )

Modifié le 4 novembre 2005 par charles ingals

[fraggy]

Merci Charles pour l'info.

 

A+

 

fraggy

[Jack_Burton]

salut Jack ,fraggy

 

Pour supprimer le compte à rebours : demarrer -> executer, tape: shutdown -a

 

et suis la procédure de Jack.

Bonjour Charly

 

Arf, j ai oublié de préciser cette commande, désolé de cet oubli fraggy, et merci a Charles pour l avoir mentionné!

J étais tellement pris par le rapport que je n ai plus fait attention au titre de la discussion et de la présence d un compte a rebours! Encore désolé !

[fraggy]

Hello Jeck, Charles,

 

Bien, j'ai appliqué la procédure, y compris le patch de sécurité pour windows.

 

Par contre, regedit est introuvable, en mode sans échec comme en normal, donc je n'ai pas pu aller dans le registre et supprimer les 2 lignes.

 

Voici le dernier rapport:

 

Logfile of HijackThis v1.99.1

Scan saved at 13:54:27, on 04/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\LEXBCES.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\LEXPPS.EXE

D:\WINDOWS\Explorer.EXE

D:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\ZONELABS\vsmon.exe

D:\Program Files\D-Tools\daemon.exe

D:\Program Files\Steganos Internet Anonym 2\siabcs.exe

D:\Program Files\Spyware Doctor\swdoctor.exe

D:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - D:\Program Files\Copernic Agent\CopernicAgentExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [AVGCtrl] "D:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKCU\..\Run: [siabcs] D:\Program Files\Steganos Internet Anonym 2\siabcs.exe

O4 - HKCU\..\Run: [spyware Doctor] "D:\Program Files\Spyware Doctor\swdoctor.exe" /Q

O8 - Extra context menu item: Chercher avec Copernic Agent - D:\Program Files\Copernic Agent\Web\SearchExt.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - D:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - D:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - D:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Program Files\AIM95\aim.exe

O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: GhostStartService - Symantec Corporation - D:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZONELABS\vsmon.exe

 

Dans l'ensemble, ça a l'air de tourner.

 

Merci et a+

 

fraggy

[Jack_Burton]

Re,

 

Ton rapport est a présent propre!

 

Par contre, regedit est introuvable, en mode sans échec comme en normal, donc je n'ai pas pu aller dans le registre et supprimer les 2 lignes.

Ce sont les lignes qui n étaient pas présentes (fort possible!) ou le logiciel regedit (pas normal!)???

Modifié le 4 novembre 2005 par Jack_Burton

[fraggy]

Re jack,

 

Ce sont les lignes qui n étaient pas présentes (fort possible!) ou le logiciel regedit???

 

Non, quand je tape "regedit" dans "exécuter", j'ai un message qui dit que la commande est introuvable

 

A+

 

fraggy

[angelique]

regarde si t'as:

 

C:\WINDOWS\regedit.exe

 

ou bien executes--->Téléchargez ce fichier.vbs Restoreregedit.vbs et exécutez-le.

 

là---->http://www.zebulon.fr/articles/base-de-registre-1.php