YV-239P une variante de SASSER / BLASTER ?Résolu/Fermé

Question

Bonjour,J'ai un problème :Un virus (très certainement) tente un reboot régulièrement à 06, 09, 10, 38 minutes de chaque heure en affichant la même boîte de dialogue (BLASTER) navrante "Arrêt du système. Veuillez enregistrer tous les travaux en cours et quitter votre session... Cet arrêt a été initié par AUTORITE NT/SYSTEM"Il ne me laisse que 30 secondes (c'était 60 avec BLASTER je crois), et j'ai un message en espagnol : "'Mon Nom' tienes 30 segundos pa pararme... te lo puse muy facilito... que cagada no? Todo es culpa del YV-239P!"J'ai bien sûr vérifié tout de suite si mon XP Pro SP2 était à jour => OUIJ'ai vérifié que mon antivirus était à jour (Trend Micro PC-CILLIN v12) => OUI (moteur et définitions des virus)J'ai fait un scan complet => RIENJ'ai appliqué les patchs FixBlaster et FixSasser => RIENEt là j'ai plus d'idées... j'en suis astreint à faire un "shutdown -a" (un truc qui marche encore...) à chaque 6°, 9°, 10°, 38° minute de chaque heure...Si quelqu'un a une idée...Merci d'avance

jean38 · Answer

t'as fait ton scan avec quoi?tu devrais le faire avec Redemarre normalement, et ensuite fais un scan AV ici: http://www.ravantivirus.com/scan/ Clic sur "To continue without subscribing click here" Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC". A la fin de l'analyse, copier/coller le rapport ici

Torti · Answer

Le scan a été fait avec PC-CILLIN v12 de Trend avec les signatures à jour et il n'a rien trouvé. Je fais maintenant un scan avec Norton 2005. Dès que j'aurais terminé, je vois ce que ravantivirus donnera...

Torti · Answer

Voilà le résultat du scan RAVScan started at 25/04/2005 16:09:11 Scanning memory...Scanning boot sectors...Scanning files...Scanned============================	Objects: 116228	Directories: 6585	Archives: 7912	Size(Kb): 1497243	Infected files: 0Found============================	Viruses found: 0	Suspicious files: 0	Disinfected files: 0	Mail files: 180J'ai également fait un scan avec Norton 2005, rien non plusJe ne sais plus quoi faire pour éradiquer ce truc...

moe · Answer

salut tortitelecharge hijackthis:http://www.merijn.org/files/hijackthis.zip Dezippe le dans un dossier prévu a cet effet.Par exemple C:\hijackthislance le puis:clic sur "do a system scan and save logfile" et pas autre chosefais un copier coller du log entier sur le forum.http://assiste.free.fr/p/internet_utilitaires/hijackthis_faire_un_log.phpa+

Torti · Answer

OK voilà le résultat... pas très explicite!!Logfile of HijackThis v1.99.1Scan saved at 20:31:35, on 25/04/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Executive Software\Diskeeper\DkService.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeC:\WINDOWS\system32\wdfmgr.exeC:\WINDOWS\System32\alg.exeC:\Program Files\Messenger\msmsgs.exeC:\Temp\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exeO4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /trayO4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exeO4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exeO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: Hard Disk LED.lnk = ?O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cabO16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111342025650O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cabO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

moe · Answer

redur dur...Aucun processus de suspect dans ton log.Tu te souviens à quelle date ca a commencé ?Si oui, recherche tous les fichiers datés de ce jour là.Dans la boite de dialogue qui s'ouvre, est ce que tu as pu voir un nom de fichier ?(en haut à gauche ou droite).C'est bizarre, aucun renseignement sur google sur le message en espagnol que tu recois.essaye aussi un scan ici:http://www.bitdefender.com/scan/licence.phpa+

Torti · Answer

En plus je ne parle pas un mot d'espagnol...mais j'ai bien compris que je me faisait avoir par un certain YV-239P qui ne me laisse que 30 secondes pour le contrer... quelle saloperie!!!Ca a commencé hier... quand aux fichiers modifiés ce jour, j'en ai 200 et rien qui me semble bizarre...Pour le scan, ce sera pour demain car 250Go c'est long...

moe · Answer

Regarde dans l'observateur d'évenement onglet systeme, si tu trouve des infos .T u devrais avoir pour chaques reboots une erreur de mentionnée (croix blanche sur fond rouge).Peut etre qu'un nom de fichier est cité...a+

Torti · Answer

J'ai trouvé ça dans l'observateur d'événements :Type : InformationsUtilisateur : AUTORITE NT/SYSTEMOrdinateur : FREDSource : USER32Catégorie : AucunID évén. : 1074Description :Le processus winlogon.exe a initialisé le redémarrage de FRED pour la raison suivante : Aucun titre à cette raison n'a pu être trouvé Raison mineure : 0xff Type d'arrêt : s'arrêter. Commentaire : Frédéric TORTEL tienes 30 segundos pa pararme... te lo puse muy facilito... que cagada no? Todo es culpa del YV-239P!Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.Données :0000:  ff 00 00 80Voilà si quelqu'un y voit clair là dedans?

moe · Answer

Salut tortiCa ramene à blaster, c'est surement une version modifiée.Vérifie si un de ces processus est dans ton pc:MSBLAST.EXE (variant A)PENIS32.EXE (variant B)TEEKIDS.EXE (variant C)mspatch.exe (variant E)mslaugh.exe (variant F)enbiei.exe (variant G)eschlp.exe svchosthlp.exe Le correctif microsoft:http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074 Je suppose que le scan chez bitdef n'a rien donné ?a+

Torti · Answer

Aucun de ces processus n'est actifLe correctif ne s'installe pas car mon XP pro SP2 est à jour nickel!Bitdefender => rienHELP

Torti · Answer

J'ai trouvé un type qui a le même problème que moi :http://www.computing.net/security/wwwboard/forum/15664.htmlIl n'est pas plus avancé mais ça soulage de voir qu'on est pas seul avec un gros merdier...

moe · Answer

tu l'as pris via le p2p, ou apres avoir telechargé un fichier sur le net ?

Torti · Answer

Un fichier récupéré sur eMule, je pense mais pas sûr...

moe · Answer

tu te souviens du nom de l'exe ?tu as vérifié dans incoming et les dossiers partagés ?

Torti · Answer

Je crois que je sais qui est le coupable, je n'en suis pas sûr car ça n'a pas été explicite... quand j'ai lancé ce truc, ça m'a semblé bizarre car trois fenêtres ms-dos se sont ouvertes et refermées immédiatement. C'est pourquoi je crois qu'il s'agit du coupable, mais c'est pas forcément sûr bien que ce soit le seul exe qui m'ai marqué. Le problème, c'est que je l'ai viré immédiatement

moe · Answer

tu te souviens de son nom ?

Torti · Answer

C'était un truc comme "Flight1 Pilatus PC12.exe" qui était dans une archive RAR du même nom. Encore une fois sans garantie...

Torti · Answer

Ca y est j'ai trouvé...Après avoir de nouveau récupéré l'exe sur eMule (je sais je suis maso!)je l'ai relancé => pas de réaction du NortonEt là idée............   J'ai été voir dans les tâches planifiées et oh miracle, cette saloperie n'est pas un virus, c'est simplement un truc qui planifie toutes  les heures un "shutdown -s -t 30 ...."Il m'a donc suffit de supprimer les tâches et le tour était joué!Merci tout de même à ceux qui se sont intéressé à mon cas et j'espère que cela servira à d'autres....

moe · Answer

Salut TortiVraiment content que tu aies trouvé la solution, en fait il était bien caché.En tout cas sa servira à ceux qui ont le meme prob que toi.bien vu !!a+

moe · Answer

Salut TortiVraiment content que tu aies trouvé la solution, en fait il était bien caché.En tout cas sa servira à ceux qui ont le meme prob que toi.bien vu !!a+

moe · Answer

salut tortiContent que tu aies trouvé la solution !Ca pourra servir à ceux qui ont le meme prob que toi.On aurait vraiment cru à du blaster.bien joué !a+

moe · Answer

oups, dsl pour le triple post

SAGEA · Answer

Salut ,Je viens d'avoir le même pb et en lisant ta solution tu m'as sauvé la vie. c'est bien des tâches planifiées !Merci

YV-239P une variante de SASSER / BLASTER ?

24 réponses

Discussions similaires

Newsletters