Sujet Précédent Sujet Suivant

(VIRUS) Type Sasser

Fermé
Toast - 26 févr. 2009 à 15:01
 gen-hackman - 29 mars 2009 à 11:30
Bonjour,

Je me suis fais avoir comme un mauvais :(

J'ai démarré un install (qui en fait a placé le virus dans le fichier temp et l'a executé).

Immédiatement FSecure le detecte mais bon trop tard, le systeme est forcé de redémarrer avec un compte à rebours.

Je redémarre en mode sans echec et je passe un coup d'AVG antispyware qui me detecte un trojan (mais je doute que ce soit le virus que je viens de chopper.

J'éteins mon ordi pour aller me coucher, je redémarre en mode sans echec, je passe l'outil de symantec pour Sasser qui me dit que mon ordinateur n'est pas infecté.

Je redémarre normalement, là j'ai plusieurs fenetres d'erreurs qui apparaissent concernant des processus (le BackWeb de FSecure et des processus PnkBst je crois que c'est punkbuster). Ces messages sont des erreurs de lecture en mémoire.

Mis à part ca, ca a fonctionné. Mais à un moment j'ai eu un Blue screen et quand j'ai redémarré le virus était de retour.

Ci-apres le rapport HijackThis fait en mode sans echec :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36:36, on 26/02/2088
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Logiciels\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Logiciels\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Logiciels\TortoiseSVN\bin\TSVNCache.exe
C:\Logiciels\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.incompris.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccdeFXo.dll
O2 - BHO: C:\WINDOWS\system32\hhs3ijndfd.dll - {c5bf49a2-94f3-42bd-f434-3604812c8955} - C:\WINDOWS\system32\hhs3ijndfd.dll
O3 - Toolbar: Alcohol Toolbar - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /M "Stylus Photo RX520" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [settings] C:\WINDOWS\callsysnt.exe
O4 - HKCU\..\RunOnce: [RegistryDefrag Success Message] "C:\Logiciels\TuneUp Utilities\TUMessages.exe" /RegDefrag_Success
O4 - HKLM\..\Policies\Explorer\Run: [xccinit] C:\WINDOWS\system32\inf\rundll33.exe C:\WINDOWS\xccdf16_090131a.dll xccd16
O4 - HKCU\..\Policies\Explorer\Run: [settings] C:\WINDOWS\callsysnt.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: TÈlÈcharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: TÈlÈcharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: TÈlÈcharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Envoyer ‡ OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer ‡ OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: SmartShopper - Compare product prices - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: SmartShopper - Compare travel rates - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Michael\Jeux\Poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Michael\Jeux\Poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.incompris.net/
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {91D4B4D5-E368-40AB-8F53-A37FA634B471} (Installer9Ctrl Class) - http://www2.tellmemorecampus.com/bin/tol9inst.cab
O16 - DPF: {9B14B03A-B482-45C3-BE37-5B7CAA8B0B5D} (QBH Control) - http://hsearch.nayio.com/download/QBH.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
O20 - Winlogon Notify: fccdeFXo - C:\WINDOWS\SYSTEM32\fccdeFXo.dll
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hhs3ijndfd.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Logiciels\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Logiciels\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: F-Secure BackWeb (backweb client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Service de transfert intelligent en arriËre-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: F-Secure BackWeb LAN Access (f-secure backweb lan access) - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Logiciels\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\WINDOWS\Private Folder\PrfldSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe (file missing)
O23 - Service: wampapache - Apache Software Foundation - C:\Logiciels\wamp\bin\apache\apache2.2.10\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - C:\Logiciels\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

166 réponses

Réponse 1 / 166
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
28 févr. 2009 à 20:02
Juste en passant ,si tu ne mets aucun rapport,on ne pourra pas beaucoup t'aider.C'est pas toi qui doit interpreter les rapports de fix,mais les personnes formés à cela.

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
1
Réponse 2 / 166
Toast
3 mars 2009 à 00:20
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\system32\CF3771.exe moved successfully.
File/Folder C:\WINDOWS\system32\CF3771.exe not found.
C:\WINDOWS\system32\tmpxccacj0.exe moved successfully.
C:\autorun.inf moved successfully.
File/Folder C:\WINDOWS\system32\tmpxccacj0.exe not found.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{53a289c4-86ed-11db-b645-0017318a9297}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{714dd224-0536-11dd-9831-0017318a9297}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7fa50a11-6d08-11db-b613-0017318a9297}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ee7e04e-2f0b-11dd-afd0-0017318a9297}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb9f904a-b873-11dc-b32c-0017318a9297}\\ deleted successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\etilqs_kvrKaXSNfq1s9BYOVdEM scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents And Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_354.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents And Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\dydk4s6j.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents And Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\dydk4s6j.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents And Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\dydk4s6j.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents And Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\dydk4s6j.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents And Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\dydk4s6j.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents And Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\dydk4s6j.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03022009_001843

Files moved on Reboot...
File C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\etilqs_kvrKaXSNfq1s9BYOVdEM not found!
File move failed. C:\Documents And Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\WINDOWS\temp\Perflib_Perfdata_354.dat not found!
C:\Documents And Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\dydk4s6j.default\Cache\_CACHE_001_ moved successfully.
C:\Documents And Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\dydk4s6j.default\Cache\_CACHE_002_ moved successfully.
C:\Documents And Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\dydk4s6j.default\Cache\_CACHE_003_ moved successfully.
C:\Documents And Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\dydk4s6j.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents And Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\dydk4s6j.default\urlclassifier3.sqlite moved successfully.
C:\Documents And Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\dydk4s6j.default\XUL.mfl moved successfully.
1
Réponse 3 / 166
Toast
22 mars 2009 à 17:40
J'en attends pas mal de windows 7 quand même. J'ai des copains qui le teste et apparement ca suit bien.

Au moins j'aurais pas connu Vista :P
1
Réponse 4 / 166
Utilisateur anonyme
26 févr. 2009 à 15:11
Bonjour,

Une vraie pépinière

Un rapport HJT en mode sans échec ne nous sert pas à grand chose.

refais en un en mode normal STP
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 166
Utilisateur anonyme
26 févr. 2009 à 15:13
Slt,

Boodha tu peux deja commencer a desinfecter, il y a le choix au niveau des infections ;-)





0
Réponse 6 / 166
Utilisateur anonyme
26 févr. 2009 à 15:19
2tant curieux, j'attends de voir si la pépinière se transforme en zoo ou même en jungle.

;-)
0
Réponse 7 / 166
Utilisateur anonyme
26 févr. 2009 à 15:20
XD d'accord :)

De toute facon, on peut pas dire que son pc est clean lol

0
Réponse 8 / 166
Toast
26 févr. 2009 à 15:24
Mon PC a toujours été très clean. Avec passage de multiples logiciels tous les mois. Mais là... :P


Bon super, le PC ne redémarre plus en mode normal :D Juste après le chargement windows, là où il devrait m'afficher que ma copie n'est pas valide (j'utilise windose les incompris), j'ai la souris mais rien d'autre.

Est-ce que ca vaut le coup que je télécharge tous les fix disponibles sur Comment ca marche pour les appliquer en mode sans echec?

Est-ce qu'un formatage supprime tout? :P
0
Réponse 9 / 166
Utilisateur anonyme
26 févr. 2009 à 15:29
il devrait m'afficher que ma copie n'est pas valide (j'utilise windose les incompris)

Tu peux m'en dire un peu plus car je ne comprend pas le sens de ta phrase ?
0
Réponse 10 / 166
Utilisateur anonyme
26 févr. 2009 à 15:30
Un windows non-officiel !?


Sinon en mode sans echec, tanbt que t'y es, je propose SDFix, findykill(par precaution) et si cela ne s'arrange pas : combofix.

0
Réponse 11 / 166
Toast
26 févr. 2009 à 15:37
Effectivement, c'est une version modifiée qui enlève (au choix) certains services de Windows qui sont souvent pas necessaires aux utilisateurs. (c'est dans la lignée des windows LSD...)

Je vais passer tout tes logiciels de suite inferno. Merci.
0
Réponse 12 / 166
Utilisateur anonyme
26 févr. 2009 à 15:42
Toast attends Booddha, c'est lui qui a rep le 1er, ne passe pas les fix tout de suite ce n'est que mon avis.


0
Réponse 13 / 166
Toast
26 févr. 2009 à 16:40
Bon j'avais lancé SDfix avant donc je l'ai fais entierement, il n'a rien trouvé (pourtant il a été long :P).

Je lance les autres logiciels que tu m'as proposé ?


Sinon, utiliser le CD de boot pour réparer ca peut pas marcher ?
0
Réponse 14 / 166
Toast
26 févr. 2009 à 17:00
Bon j'ai lancé les deux autres. Rien trouvé non plus.

En fait combo fix a commencé, il m'indique suppression des fichiers :

WINDOWS/System32/dumphive.exe
WINDOWS/System32/Process.exe
WINDOWS/System32/SrchSTS.exe
WINDOWS/System32/tmp.reg
WINDOWS/System32/xcchit32.ini
xccwinsys.ini

Mais ensuite il marque qu'il trouve pas le fichier de commande check_Hal

Et donc il ne fait plus rien.

Je commence à tourner en rond la :P Donc si quelqu'un a une idée, elle est la bienvenue :)
0
oli17
27 févr. 2009 à 20:15
bonjour, pour le virus sasser, télécharger viruskeeper pro 2009 : http://www.viruskeeper.com/fr/telecharger.htm

faites une analyse comportementale, puis un scan approfondie + mémoire antivirus , scan antispyware et anti rootkit

viruskeeper pro detecte et supprime facilement ces menaces
0
Réponse 15 / 166
Toast
28 févr. 2009 à 12:42
Bonjour.

J'ai réussi à redemarrer une fois en mode normal. Le virus était toujours là mais j'ai fais shutdown -a et mis l'horloge à l'an 2000

Il y a plusieurs processus qui ont crashé, pnkbstrA, pnkbsterB, et notamment service.exe Je me demande si le virus n'a pas causé quelques dégats sur certains process importants.

J'ai essayé d'installer en mode sans echec VirusKeeper, mais il n'arrive pas à le lancer (Virus keeper dit qu'il va se redemarrer tout seul pour reessayer).

J'ai aussi eu une erreur systeme code : 1060 Le service spécifié n'existe pas en tant que service installé.

Je ne sais pas si c'est très important, mais c'était la 2e fois que je voyais ce message d'erreur. En mode normal, l'ordi a mis du temps pour entrer dans poste de travail.


Sinon j'en ai profité pour faire un rapport Hijackthis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:16, on 2000-02-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Logiciels\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Logiciels\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Logiciels\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Logiciels\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Private Folder\PrfldSvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\dwwin.exe
C:\Logiciels\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O3 - Toolbar: Alcohol Toolbar - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /M "Stylus Photo RX520" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [settings] C:\WINDOWS\callsysnt.exe
O4 - HKCU\..\Policies\Explorer\Run: [settings] C:\WINDOWS\callsysnt.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: TÈlÈcharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: TÈlÈcharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: TÈlÈcharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Envoyer ‡ OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer ‡ OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Michael\Jeux\Poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Michael\Jeux\Poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.incompris.net/
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {91D4B4D5-E368-40AB-8F53-A37FA634B471} (Installer9Ctrl Class) - http://www2.tellmemorecampus.com/bin/tol9inst.cab
O16 - DPF: {9B14B03A-B482-45C3-BE37-5B7CAA8B0B5D} (QBH Control) - http://hsearch.nayio.com/download/QBH.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Logiciels\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Logiciels\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: F-Secure BackWeb (backweb client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Service de transfert intelligent en arriËre-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: F-Secure BackWeb LAN Access (f-secure backweb lan access) - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Station de travail lanmanworkstationFSMA (lanmanworkstationfsma) - Unknown owner - C:\WINDOWS\system32\adsndst.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Logiciels\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\WINDOWS\Private Folder\PrfldSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe (file missing)
O23 - Service: wampapache - Apache Software Foundation - C:\Logiciels\wamp\bin\apache\apache2.2.10\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - C:\Logiciels\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
0
Réponse 16 / 166
Toast
28 févr. 2009 à 14:41
Une autre question : est-il possible de forcer l'application d'un patch correctif de windows? Quand j'essaie de mettre la mise à jour connu pour ce type de virus, j'ai un message qui m'informe que ma version de windows est supérieur à celui du patch et donc qu'il ne va pas l'installer.

Merci.
0
oli17
28 févr. 2009 à 14:45
sinon essayer le cureit de drweb sur une clé usb en general ca marche bien, vous la trouverez sur le site de drweb, sinon si vous pouvez , faire sous explorer PAS mozilla, un scan sur le site de nod32
0
oli17
28 févr. 2009 à 15:52
dites moi si drweb cureit voit des trucs, des que tout va mieux et vous pouvez faites une analyse comportementale avec viruskeeper tenez moi au courant
0
Réponse 17 / 166
Toast
28 févr. 2009 à 15:52
En mode normal de windows, j'ai démarré VirusKeeper qui m'a mis 5 fichier en quarantaine en me prévenant d'un risque élevé :

dumphive
Process.exe
SrchSTS
swreg.exe
swsc.exe

Ils se trouvaient tous dans system32.

Je vais essayer ton Cureit.

Par contre impossible d'acceder à internet. Normalement quand je branche mon cable ethernet je suis directement connecté mais là rien il ne voit pas que je suis branché. Donc impossible de faire le scan.

Merci en tout cas.
0
Réponse 18 / 166
Toast
28 févr. 2009 à 15:55
Il vient de m'ajouter swxcacls en détection de programme dangereux élevé.
0
oli17
28 févr. 2009 à 16:01
super, donc : analyse comportemental avec viruskeeper virer ttes les menaces qu'ils detectent
faite scan approfondie + memoire antivirus avev viruskeeper
ensuite si pas d'internet pas grave faites analyse complete avec le cureit drweb si il fonctionne
avec tout ca le pb devrait etre resolu
aussi , si internet ok , un coup de ccleaner dans le registre et tout sera ok
0
oli17
28 févr. 2009 à 17:00
j'espere que ca sera bon previens moi
0
oli17
28 févr. 2009 à 17:55
aieee apparemment pas de connexion internet , le scan complet drweb est long mais normalement avec viruskeeper pro 2009 plus de probleme pour sasser !
0
oli17
28 févr. 2009 à 18:47
drweb te retrouves d'autres trucs en analyse complete, si internet ok mises a jour windows update a faire, un coup de ccleaner dans le registre et dans l'onglet erreur pour qu'il supprime les erreurs
0
Réponse 19 / 166
Toast
28 févr. 2009 à 18:10
Non en fait depuis le début j'utilise l'ordinateur de ma soeur :)

Alors quand windows a bien voulu démarrer en mode normal (une fois sur trois), j'ai fais un test comportemental au moment du message d'arret (qui apparait exactement apres le message d'erreur : service.exe doit être arreté). Et il n'a rien trouvé.

Tout à l'heure j'ai essayé de lancer la fonction recherche antivirus de VirusKeeper, mais il n'a pas démarré (j'ai simplement eu l'affichage de la banniere VirusKeeper). PAr contre j'ai passé tous les autres tests et rien n'a été trouvé.

J'ai regardé sur le net, et les fichiers que j'avais cité dans mes précédents messages sont en fait liés à SmitFraudFix.

Oui le DrWeb est très long. Il a trouvé dans l'analyse rapide uacuptxqgvp.sys (backdoor.Tdss.84) et wsyhgukk.dll (Win32.HLLW.Shadow.Based).

Sinon là en ce moment l'analyse complete est en cours, mais elle ne trouve que les exe de smitfraud et de viruskeeper.

Donc pour l'instant toujours aucune piste concluante :(

Pourrais-tu jeter un coup d'oeil au rapport HiJackThis que j'ai posté plus haut ?

Sinon je reste toujours troublé par le fait que windows ai du mal à démarrer normalement. D'ailleurs quand il réussit, la plupart des process censé démarrer n'apparaissent pas (par exemple des outils de réglages de ma carte son). Est-ce qu'une réparation avec le CD de boot est recommandé ?

En tout cas merci de ton accompagnement.
0
oli17
28 févr. 2009 à 18:17
https://news.drweb.fr/show/?i=116&c=4

il s'agit du tout nouveau virus conficker, il faut faire les mises a jour windows, windows update, antivir a aussi conficker dans sa base de donnée mais je pense qu'une fois l'analyse drweb finit et supprimé les menaces et viruskeeper finit de trouvé des merdes ca ira, tiens moi au courant, car si le pc redemarre plus avc le compte a rebourre ya plus de sasser
0
oli17
28 févr. 2009 à 19:53
drweb a trouvé beaucoup de trucs ? a la fin de l'analyse tout selectionné et faire supprimer
0
oli17
28 févr. 2009 à 20:44
j'espere que drweb a pu virer tous les virus ? tiens moi au courant
0
Réponse 20 / 166
Toast
28 févr. 2009 à 20:45
Bonjour.

Je viens de faire les log, je les poste juste apres.

Juste un rapport sur Dr.Web, il m'a trouvé pas mal de petites cochoneries dont un backdoor en plus de celui que j'ai cité précedemment.

Avant de faire RSIT j'ai redémarré, et là pas de problemes, redémarrage du premier coup, pas de crash de service.exe

Dans mes 2 prochains post, les logs demandés :)
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Erreur d'exécution 13 Incompatibilité de type
grace -
pijaku -

5 réponses
Faiblesse des pokémon spectre
Matthias77 -
akumu -

17 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Search web or type URL
josygot -
Malekal_morte- -

3 réponses