YV-239P une variante de SASSER / BLASTER ? [Résolu]

t'as fait ton scan avec quoi?

tu devrais le faire avec

Redemarre normalement, et ensuite fais un scan AV ici:
http://www.ravantivirus.com/scan/
Clic sur "To continue without subscribing click here"
Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici

Le scan a été fait avec PC-CILLIN v12 de Trend avec les signatures à jour et il n'a rien trouvé. Je fais maintenant un scan avec Norton 2005.

Dès que j'aurais terminé, je vois ce que ravantivirus donnera...

Voilà le résultat du scan RAV

Scan started at 25/04/2005 16:09:11

Scanning memory...
Scanning boot sectors...
Scanning files...

Scanned
============================
Objects: 116228
Directories: 6585
Archives: 7912
Size(Kb): 1497243
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 180


J'ai également fait un scan avec Norton 2005, rien non plus

Je ne sais plus quoi faire pour éradiquer ce truc...

salut torti

telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier sur le forum.
http://assiste.free.fr/p/internet_utilitaires/hijackthis_faire_un_log.php

a+

OK voilà le résultat... pas très explicite!!

Logfile of HijackThis v1.99.1
Scan saved at 20:31:35, on 25/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Temp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Hard Disk LED.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111342025650
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

re

dur dur...
Aucun processus de suspect dans ton log.
Tu te souviens à quelle date ca a commencé ?
Si oui, recherche tous les fichiers datés de ce jour là.
Dans la boite de dialogue qui s'ouvre, est ce que tu as pu voir un nom de fichier ?(en haut à gauche ou droite).

C'est bizarre, aucun renseignement sur google sur le message en espagnol que tu recois.

essaye aussi un scan ici:
http://www.bitdefender.com/scan/licence.php

a+

En plus je ne parle pas un mot d'espagnol...
mais j'ai bien compris que je me faisait avoir par un certain YV-239P qui ne me laisse que 30 secondes pour le contrer... quelle saloperie!!!

Ca a commencé hier... quand aux fichiers modifiés ce jour, j'en ai 200 et rien qui me semble bizarre...

Pour le scan, ce sera pour demain car 250Go c'est long...

Regarde dans l'observateur d'évenement onglet systeme, si tu trouve des infos .
T u devrais avoir pour chaques reboots une erreur de mentionnée (croix blanche sur fond rouge).
Peut etre qu'un nom de fichier est cité...

a+

J'ai trouvé ça dans l'observateur d'événements :
Type : Informations
Utilisateur : AUTORITE NT/SYSTEM
Ordinateur : FRED
Source : USER32
Catégorie : Aucun
ID évén. : 1074

Description :
Le processus winlogon.exe a initialisé le redémarrage de FRED pour la raison suivante : Aucun titre à cette raison n'a pu être trouvé
Raison mineure : 0xff
Type d'arrêt : s'arrêter.
Commentaire : Frédéric TORTEL tienes 30 segundos pa pararme... te lo puse muy facilito... que cagada no? Todo es culpa del YV-239P!

Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.

Données :
0000: ff 00 00 80

Voilà si quelqu'un y voit clair là dedans?

Salut torti

Ca ramene à blaster, c'est surement une version modifiée.
Vérifie si un de ces processus est dans ton pc:
MSBLAST.EXE (variant A)
PENIS32.EXE (variant B)
TEEKIDS.EXE (variant C)
mspatch.exe (variant E)
mslaugh.exe (variant F)
enbiei.exe (variant G)
eschlp.exe
svchosthlp.exe

Le correctif microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074

Je suppose que le scan chez bitdef n'a rien donné ?

a+

Aucun de ces processus n'est actif

Le correctif ne s'installe pas car mon XP pro SP2 est à jour nickel!

Bitdefender => rien

HELP

J'ai trouvé un type qui a le même problème que moi :

http://www.computing.net/security/wwwboard/forum/15664.html

Il n'est pas plus avancé mais ça soulage de voir qu'on est pas seul avec un gros merdier...

tu l'as pris via le p2p, ou apres avoir telechargé un fichier sur le net ?

Un fichier récupéré sur eMule, je pense mais pas sûr...

tu te souviens du nom de l'exe ?
tu as vérifié dans incoming et les dossiers partagés ?

Je crois que je sais qui est le coupable, je n'en suis pas sûr car ça n'a pas été explicite... quand j'ai lancé ce truc, ça m'a semblé bizarre car trois fenêtres ms-dos se sont ouvertes et refermées immédiatement. C'est pourquoi je crois qu'il s'agit du coupable, mais c'est pas forcément sûr bien que ce soit le seul exe qui m'ai marqué. Le problème, c'est que je l'ai viré immédiatement

tu te souviens de son nom ?

C'était un truc comme "Flight1 Pilatus PC12.exe" qui était dans une archive RAR du même nom. Encore une fois sans garantie...

Ca y est j'ai trouvé...

Après avoir de nouveau récupéré l'exe sur eMule (je sais je suis maso!)

je l'ai relancé => pas de réaction du Norton

Et là idée............

J'ai été voir dans les tâches planifiées et oh miracle, cette saloperie n'est pas un virus, c'est simplement un truc qui planifie toutes les heures un "shutdown -s -t 30 ...."

Il m'a donc suffit de supprimer les tâches et le tour était joué!

Merci tout de même à ceux qui se sont intéressé à mon cas et j'espère que cela servira à d'autres....

Salut Torti

Vraiment content que tu aies trouvé la solution, en fait il était bien caché.
En tout cas sa servira à ceux qui ont le meme prob que toi.

bien vu !!

a+