Menace Intrusion.Win.MSSQL.worm.Helkern!

une aide svp ?

URGENT !

J'attends uen aide svp...

Bonjour,
C'est une alerte connue de Kaspersky.
http://kb.kaspersky.fr/index.php?ShowID=547

FillPCA

Re,
Hijackthis sera inutile pour ceci. Il te suffit de désactiver les alertes comme indiqué. Le firewall continuera à travailler silencieusement en continuant à te protéger.

FillPCA

Oui, mais je ne comprends pas bien comment on peut être protégé d'une intrusion malveillante à 100% vu que des hackers ont réussi à obtenir mon adresse IP pour tenter de pirater mon ordi. Le pare feu fonctionne pour l'instant, mais j'imagine que dans les mois à venir ils trouveront une parade pour le contourner et s'introduire réellement dans mon ordi.
A signaler aussi le fait que lorsque ma licence arrivera à terme dans un an, lors de la prochaine mise à jour de l'anti virus, je devrai désactiver et supprimer la version 7 , ce qui rendra de nouveau mon ordi vulnérable à toute attaque extérieure.
Je trouve vraiment bizarre qu'on ne puisse pas éradiquer cette menace !

Celle-ci apparaît toujours sur le port local 1434, si on supprime celui-ci que se passera-t-il ?

Re,

Les worms se répandent en cherchant des machines vulnérables : http://fr.wikipedia.org/wiki/Ver_informatique

Normalement, on procède à une mise à jour hors connexion (en débranchant éventuellment le câble RJ45), notamment lorsqu'il s'agit d'un pare-feu.

Maintenant, si tu as un doute et pense être infecté, on peut creuser.

FillPCA

1-
extrait de la notice de KIS 6.0 pour faire disparaître les fenêtres rouges annonçant le blocage de la menace :


Si vous souhaitez desactiver l'apparition de ce message lors du bloquage d'une attaque, veuillez suivre la procedure ci-dessous :

Procédure pour KIS 6 :
1. Ouvrez la fenetre principale de Kaspersky Internet Security 6.0 en effectuant un double clic gauche sur l'icone "K" situee en bas a droite de votre ecran.
2. Cliquez sur "Configuration" puis "Services".
3. Dans l'encadré "Interaction avec l'utilisateur" cliquez sur "Configuration...".
4. Décochez la case "Ecran" de l'évenement "Découverte d'attaques de réseau"
L'étape 3 invalide le processus car le Menu "Services" dans la fenêtre "Configuration" est différent dans KIS version 7 , donc je ne peux pas supprimer les alertes rouges envoyées périodiquement par Kapersky .
Une solution ?

2-
Oui, j'ai quand même un doute sur une infection virale dans mon ordi. Les tentatives de piratages d'ordi par les hackers sont tellement perfectionnées qu'on ne s'en rend pas toujours compte, mais des indices laissent supposer que quelque chose est anormal : comme par ex. le ralentissement de l'affichage des pages Internet (alors que je suis en Wi fi). L'année dernière j'ai eu le spyware systemdoctor que je n'ai jamais pu éradiquer jusqu'à ce que je réinitialise complètement l'ordi (formatage).
Maintenant c'est le virus Helkern qui a la subtilité d'être indestructible ....

J'ai scanné hier tout l'ordi avec KIV 7.0, il n'a rien détecté d'anormal , mais je n'ai pas conservé le rapport. Je peux poster un log Hijackthis pour voir si rien ne cloche ?

Re,

1/ Télécharge Ccleaner Basic http://www.ccleaner.com/download/builds

Ouvre Ccleaner, clique sur "lancer le nettoyage".

2/ Télécharge AVGantispyware : http://www.ewido.net/en/download/
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

3/ Pour une meilleure réponse, télécharge le logiciel HijackThis v1.99.1
http://pchelpbordeaux.free.fr/logiciels.html

Tutorial
http://pchelpbordeaux.free.fr/tuto.html

Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Fais un scan et poste l'analyse.

FillPCA

Je viens de faire la 1ère étape, CCleaner installé et nettoyage lancé...
Maintenant je constate que les pages de certains sites Web (Boursorama et Commentcamarche, entre autres) ne s'affichent plus comme avant : tout est en désordre, je ne comprends pas ce qui s'est passé ! Merçi de m'aider, parce que là je commence à paniquer....

Re,
Qu'entends-tu par "en désordre" ? Ccleaner est parfaitement sûr et a été largement éprouvé. Peux-tu être plus précis ?

FillPCA

Re,
As-tu essayé de rafraichir la page pour voir si elle s'affiche correctement ensuite ?

Il te faut peut-être dans ce cas t'identifier de nouveau.

FillPCA

oui j'ai réactualisé les pages plusieurs fois, ca marche toujours pas !
Voici comment s'affiche la page de Boursorama :

<a href="http://imageshack.us"><img src="http://img510.imageshack.us/img510/6011/affichageboursoramaxh2.png" border="0" alt="Image Hosted by ImageShack.us"/></a><br/>Shot at 2007-08-13
http://img510.imageshack.us/my.php?image=affichageboursoramaxh2.png
plus grave : à chaque redémarrage de l'ordi, KIS se met à analyser automatiquement tous les objets de démarrage : ca prend 3 à 4 mn et ca ralentit la connexion au Net , que Faire ?

Re,

Peux-tu éditer un rapport Hijackthis ?

FillPCA

L'affichage normal est revenu pour le site "Commentcamarche", ....mais pour les 4 autres, c'est toujours un désordre complet !

rapport du Log Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 15:54:09, on 13/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Launch Manager\QtDTAcer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtDTAcer.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WG511WLU] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500 (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P34 "EPSON Stylus Photo RX500 (Copie 1)" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O5 "LPT1:" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [eCarteBleue-CLEO] "C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe" /dontopenmycards
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Copernic 2001 - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2001 Pro\Copernic.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Re,

Le rapport Hijackthis est propre. Peux-tu installer AVGantispyware et l'utiliser comme indiqué au-dessus ?

Edite ensuite le rapport.

FillPCA

1- Auparavant, je voudrais retrouver l'affichage normal de certains sites consultés quotidiennement. Je ne comprends pas, ca ne m'a jamais fait cela ! CCleaner a dû effacer certaines données par erreur ?
tu ne vois pas d'anomalies sur le Log ?

2- je n'ai toujours pas trouvé sur KIS 7, la notice qui permet d'effacer les fenêtres rouges d'avertissement de la menace d'intrusion Helkern.

Pour Ccleaner, c'est impossible qu'il y ait eu un tel effacement si tu t'es cantonné aux fonctions que j'ai citées.

Je l'utilise quotidiennement sans aucun soucis.

Pour Kis7, un utilisateur du logiciel pourra peut-être t'aider.

As-tu essayé de te re-connecter aux sites après avoir rebooté le pc ?

As-tu les mêmes soucis d'affichage avec un autre navigateur (firefox ou opéra) ?

FillPCA

As-tu essayé de te re-connecter aux sites après avoir rebooté le pc ?


Oui, biensûr, plusieurs fois, je les ai réactulisés, mais ca ne marche toujours pas : pas d'image de fond et mauvaise mise en page des textes sur ces sites !
Que dois-je faire ? je commence à être inquiet là...