Virus Sasser, aidez moi svp [résolu]

[l'étoile]

voilà le rapport enfin

hijackthis

LOgfile of H vl.99.1 scan saved at 22:22:49. on 24/03/2006 platform: windows xp sP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 sp2 (6.00.2900.2180)

Running processes,

D: \wINoO .exe D:\wINDows\system32\winlogor%.exe o D:\WINDOW sass .exe D:\ .exe D:\WINOOWS\System32\svchOst.exe D:\wINnows\Explorer.EXE

D: \Program Fi es\FlcI . copruns\Real \update_OB\evntsvc. exe D:\PrOgram Files\Winamp\w1nampa.ex

D:\Program Files\Babylon\Sabyl on.exe D F D o:\PROGPA—1\Gri soft\Avc7\avgcc .exe o:\

D:\Proqram Files\MSN Toolbar

suite\os\02 OS .0001 .Ul9Vr-fr\bi n\windowsseardi .exe D:\wINoows\system3z\spoolsv.exe

o;\

D:\PR

D: \pROGRA soft\AVGZ\avgemc .exe D:\wIwoows\system3

D: \Proqram Fil es\Mi crosoft offi ce\OFFIcE11\wINwoRo .EXE o:\Program F,les\WinRAR\WinRÂR.exe

o: \D0cUME-1\DRHIst 750\H-ijackrhi S. exe

Ri HKCU\Sûftware\M-icrOsoft\Tnternet Explorer\Main,search Bar

http: . fr/OSEFRFR/

RU — HKCU\Software\Microsoft\Internet Explorer\Hain,start Page =

http : //wwn. topnet . tn/

RO - HKLM\Software\MicrOsoft\Internet Explorer\Mairl.starr Page

http : 11fr. yahoo. com

Ri — HKCU\Software\Microsoft\Internet Explorer\searchURL, (Default)

bttp://fr, rd.yahoo.com/customize/yconip/defaults/su/*http://fr.yahoo.com

RO — HKCu\software\Microsoft\Internet Explorer\ToolbarLinksFolderNanie Liens

02 — BHOt AcroIEHlprobJ cl ass — {06849E -

o: \program Fil es\Adobe\Acrobat 5. 0\Reader\Activex\Acro

DZ - RHO: whenusearch Helper — {BA2325ED—F9EB—4 — D:\program Files\Wbenusearcb\search .dll (file mi ssi ng)

o2 — BHO: sarre d’outils MSNI search 4elper — {SDBD — 0: \Program Fil eS\HSN tool bar

suite\TB\02 .05 .0000.iiOS\tr—fr\msntb .dll

03 — Toolbar: Barre d’outils MS search — {RDAD1

- D:\Program Files\MSN Toolbar sL4ite\TB\02 .05.0000. ii05\fr 1

03 — Toolbar: Vahoor Toolbar — {EF99 — D:\Program Fi les\vahool \Companion\Iristall s\cpn\yt .dll

04 — HKLM\. .\Run ÇIMJPMIC .1] “D: \ EXE’ /Spoi 1

/Ren)AdvDef /M1 gration32

04 - HKLM\. .\Run: [ D:\LvI

/SVNC

04 - HKLM\. . \Run: [ o:\WINDOWS\system32\ EXE

/IMEName -

04 HKLM\. .\Run: [ D:\Program F,les\richiers

communs\Real\Update_on\evntsvc.exe —oshoot

04 — HkLM\. .\Run: [ D:\Program Files\winamp\winanipa.exe

04 - HKL .\Run: [ Ati2mdxx.exe

04 - HKLM\. ,\Run: [ Client] û:\Program Files\

- Au to Sta r t

04 — HKLM\. . \Run: [ ‘D:\Program Files\wbenUsearcb\search. exe”

04 — HKLM\. .\Run; [ 0:\Prograni Files\WhenUsearch\whse.exe

04 — HKLM\. .\Run; [ star-tup] run

D: \PROC A-1\NEWDOT-1\NEWDOT-2 .DLL Cli entstartup -s

o4 - HKLM\. ,\Run: [ D:Hijacked Internet Hi Internet Hi Internet Hi]acked Internet unknown file in i. unknown file in wi unknown file in 4i

access by New.Net access n Nec

Nec. Net

NeW.Net

d \wI ndows\system32\avgfwafu dli \wi ndows\system32\avgfwafu .dll :\wi ndows\system32\avgfwafu .dll d:\windows\system3z\avgfwafu .dll :\wi ndows\systeiii3z\avgtwafu .dll

Ne Net

N e . N et

o4 — HKcu\. .\Run: [ o:\WINOŒJIS\system32\cttflion.exe

04 HKCU\ .\RLin: [ D:\Program Fil es\Messerlger\msnlsgs .exe” ibackground

04 — Global startup: Adobe Gamma L.oader.lnk D:\Proqram Files\FicIrTers

communs\Adobe\Caiibratiùn\Adobe Gamma LOader.exe

04 — Global startup: Windows Desktop search.lnk D:\Program Files\MSN Toolbar

Suite\DS\02.05 .0001.1119\tr—fr\bin\windowssearch.exe

08 - Extra context nierai item: &ISN Search — res;f/o:\Proqram Elles\MSN Toolbar

Suite\TB\OZ .05.0000. 110S . htm

OS — Extra COntext menu item: E&xporter vers Microsoft Excel -

res :/JD:\PR0GRMv EXEJ3000

OS - Extra Context menu item: Ouvrir dans un nouvel onglet d’arriere—plan — res:Jfo:\Program Files\MSN Toolbar

Suite\TAR\02 .05 .0000.fl05\fr—fr\msntabres.dll/22979t60d9d0ed2c4d58905bfd81e9945e

os — Extra context menu item: ouvrir dans un nouvel onglet de premier plan — res:/ Files\HSN Toolbar

suite\TAB\02 .05.0000. 1105\tr—fr\msntabres .dll f230?9f60

09 — Extra button: Recherche - {9 —

D: \PR0CRA .DLL

c — Extra button: Messenqer — {FB5F -

D:\Program Files\Messen

09 — Extra ‘ menuitem: windows lessenger — {Fa5F1910—F11O-11d2-sa9E—00C04F795683 - D: \Program Fi les\Messenger

010

010

010

010

010

010

010

access by access by nsock LSP:

nsock LSP:

nsock LSP;

\msmsgs.exe

file in winsûck file in winsock

Internet access Internet access

010 — unknown Lsp:

010 - Ljnknown LSP:

010 — Hijacked by

010 — Hi]acked

016 — DPF: {6E32070A—7660—4EE6-879c—Dc (MLN ClaSs) —

http://update.mlcrosoft.com/microsoftupdatelv

te. cab71142791472406

017 - HKLM\SyStem\CcS\SerV

NameServer = 193.95.6610,

023 Service: Ati HotKey

D\W

023 - Service: AVG7 Alert Manager Server CAvQZAlrt) - CRIsofl, S.r.o.

o :\PROGRA-1\Gri soft\AVG7\avgamsvr .exe

023 — Service; AVG7 update Service (Av — GRISOFT, s.r.0. -

D: \PR0CPA soft\AvG7\avgupsvc. exe

023 - service: AvG E-mail Scanner (AVGEMS) — GRTSOFT, sf0. -

O:\PRoGR soft\AVC7\avgemC.exe

023 — Service: Ave Firewall (AVGFWSrV) — GRISOFT. s.r.o. —

D: \PR0GRA soft\Av67\avgfwsrv. exe

023 — Service: SmartLinkServlce (SLServ

ices\TcDip\. \{405652F2—6484-4688—

193.95. 3 .77

Poiler - unknown oener —

D:\

\PR /STARTUP

[bruce lee]

analyse en cours,

 

ca risque d'etre long car ton log n'est pas tres "droit"(enfin je me comprends)

[tornado]

Salut l'étoile,

 

 

Pourrais tu mettre un rapport "ordonné" comme celui-ci par exemple :

 

Logfile of HijackThis v1.99.1

Scan saved at 15:40:15, on 28/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\explorer.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

E:\Docs\Softs\HijackThis.exe

 

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{A5BAFBCA-141B-4E8A-B04C-9267531EA1A7}: NameServer = 217.19.192.132 217.19.192.131

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

 

 

A+

 

 

 

Arf grilled!

 

Je te laisse le log dans ce cas, t'abîmes pas trop les yeux

Modifié le 28 mars 2006 par tornado

[l'étoile]

Salut l'étoile,

Pourrais tu mettre un rapport "ordonné" comme celui-ci par exemple :

A+

 

Tu sais, ça m'a pris beaucoup de temps pour vous donner le rapport, j'ai fait le rapport, puis imprimé, puis scanner, puis vous l'envoyé, et c'est le résultat et désolée je crois que je ne peux pas faire mieu...j'ai voulu mais j'ai fait l'extreme.

 

Salut

[bruce lee]

je n'arrive pas du tout a m'y retrouver dans ton log j'ai l'mpression qu'il manque des morceaux

de ligne!.

 

on va s'occuper des lignes 04(enfin celle qui sont en entieres )

 

 

 

telecharge ceci:

 

http://www.cexx.org/lspfix.htm (lspefix)

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

3/demarrer/panneau de configuration/ajouts et suppressions de programmes et verifie la presence de:

 

NEWDOTnet ou new.net

 

si ce programme est present désinstalle le.

 

 

4/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

04 — HKLM\. .\Run; [ star-tup] D:\PROC A-1\NEWDOT-1\NEWDOT-2 .DLL Cli entstartup -s

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

6/supprime ce qui est en gras:

 

D:\PROC A-1\ NEWDOT-1<= tout le dossier

 

 

 

7/Utilise LSPFix en mode sans echec

* coche la case devant I know what I'm doing

* Fais passer dans remove tout ce qui a trait a new.net.

* Clique sur finish

 

8/redemarre en mode normal.

 

9/reposte un nouveau log hijackthis.

 

EDIT:merci tornado, le probleme est qu'il manque des morceaux de lignes donc pour s'y retoruver c'est pas facile pour ce log special je vais mettre mes binocles

Modifié le 28 mars 2006 par bruce lee

[l'étoile]

D'accord je vais faire.

et je vais tout faire pour ordonnee le log

[bruce lee]

D'accord je vais faire.

et je vais tout faire pour ordonnee le log

 

ca serait gentil

[l'étoile]

ca serait gentil

il faudra du temp

De toute façon j'ai une bonne information, maintenant je suis sur que c'est Sasser, pourquoi ?? et bien je vais vous dire. J'ai fait:

Appuyez sur CTRL+ALT+SUPP, puis cliquez sur « Gestionnaire des tâches ».

puis sur processus, puis j'ai trouvé parmi les processus ça " lsass.exe.

 

alors, n'est ce pas vrai que c'est sasser ???

 

SVP pourrai je savoir à quoi sert le rapport HijackThis??? et pourquoi vous m'avez demandé de le faire???

Excusez moi, mais je ne veux pas faire des choses betement, sans savoir pourquoi et à quoi servir

 

@+

L'étoile

[l'étoile]

personne n'a répondu ??

[bruce lee]

SVP pourrai je savoir à quoi sert le rapport HijackThis??? et pourquoi vous m'avez demandé de le faire???

 

plus de renseignement ici http://forum.zebulon.fr/index.php?showtopic=69732

 

comme tu le vois(lien que je t'ai mis pour hijackthis) le tiens n'est pas comme les autres