Que des problemes depuis format

Que des problemes depuis format - Sécurité - Windows & Software

Marsh Posté le 03-11-2004 à 16:39:32    

Bonjour a vous tous.
 
Je vous explique mon problème :  
 
J'ai format mon disque dur depuis ce matin entierement, il est "vierge".
 
malheureusement le pire arriva... a peine connecté a internet, je me retrouve avec des saloperies plein le pc générant des processus visant a bouffer mon uc.
 
Le problème c'est que j'ai tellement de processus a la con que je ne sais absolument pas lequel est a l'origine de tout cela.
 
j'ai pourant tenté le scan par AVG. Les scan adaware / spybot en mode sans echec et un nettoyage des fichiers temporaires, cookies et des fichiers inutiles dans le registre pourtant rien n'y fait.
 
Le pire étant a chaque demarrage du pc IE s'ouvre automatiquement et se connecte a une adresse bidon "http://216.117.133.37/~dark/lc.html" qui a en rapport le processus lc.exe
 
a noter egalement la presence d'un processus "lsass2.exe" "webrebate1.exe" et "winadtools.exe"
 
 
J'ai quand meme fait un scan par hijackthis que voici :  
 

Citation :

Logfile of HijackThis v1.98.2
Scan saved at 16:37:51, on 03/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svshost.exe
C:\WINDOWS\System32\ntvhost.exe
C:\WINDOWS\System32\elite.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\Sygate.exe
C:\WINDOWS\system\lsvchost.exe
C:\WINDOWS\System32\wuarclt.exe
C:\WINDOWS\System32\lsass2.exe
C:\WINDOWS\System32\secpol.exe
C:\Documents and Settings\nazga\Application Data\sbet.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
c:\temp\msbb.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\WINDOWS\System32\wvsvc.exe
C:\WINDOWS\System32\winservice32.exe
C:\Documents and Settings\nazga\Bureau\hjt\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/red [...] ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/red [...] r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/red [...] R}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/red [...] ar=msnhome
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Microsoft Windows Update] svshost.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\Run: [Software\\Microsoft\\Windows\\CurrentVersion\\Run] ntvhost.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] elite.exe
O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe
O4 - HKLM\..\Run: [*windows update] wuarclt.exe
O4 - HKLM\..\Run: [lsass service] lsass2.exe
O4 - HKLM\..\Run: [Windows Security Policy] secpol.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [inopuh] C:\WINDOWS\inopuh.exe
O4 - HKLM\..\Run: [wvsvc] wvsvc.exe
O4 - HKLM\..\Run: [Windows Service32] winservice32.exe
O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti16.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] rilmiu.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] elite.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svshost.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\RunServices: [Software\\Microsoft\\Windows\\CurrentVersion\\Run] ntvhost.exe
O4 - HKLM\..\RunServices: [*windows update] wuarclt.exe
O4 - HKLM\..\RunServices: [lsass service] lsass2.exe
O4 - HKLM\..\RunServices: [Windows Security Policy] secpol.exe
O4 - HKLM\..\RunServices: [wvsvc] wvsvc.exe
O4 - HKLM\..\RunServices: [Windows Service32] winservice32.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svshost.exe
O4 - HKLM\..\RunOnce: [Software\\Microsoft\\Windows\\CurrentVersion\\Run] ntvhost.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] elite.exe
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOCUME~1\nazga\LOCALS~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [Windows Compliant] rilmiu.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svshost.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Software\\Microsoft\\Windows\\CurrentVersion\\Run] ntvhost.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] elite.exe
O4 - HKCU\..\Run: [*windows update] wuarclt.exe
O4 - HKCU\..\Run: [Rsep] C:\Documents and Settings\nazga\Application Data\sbet.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svshost.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] elite.exe
O4 - HKCU\..\RunOnce: [Software\\Microsoft\\Windows\\CurrentVersion\\Run] ntvhost.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: SATARaid.lnk = ?
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm


 
 
J'espere sincerement que vous pourrez m'aidez  :(  
 
 

Reply

Marsh Posté le 03-11-2004 à 16:39:32   

Reply

Marsh Posté le 03-11-2004 à 17:04:29    

tu es sérieusement infecté
formaté oui! mais on se connecte avec un firewall et tout de suite on update son système :  Windows Update
 
C:\WINDOWS\System32\svshost.exe <-- Worm.P2P.Spybot.gen virus
http://www.liutilities.com/product [...] y/svshost/
C:\WINDOWS\system\lsvchost.exe  
C:\WINDOWS\System32\wuarclt.exe <--  WORM_RBOT.AAG
http://uk.trendmicro-europe.com/en [...] M_RBOT.AAG
C:\WINDOWS\System32\lsass2.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\Program Files\Web_Rebates\WebRebates1.exe  
C:\WINDOWS\System32\wvsvc.exe<--WORM_RBOT.QQ
http://www.trendmicro.com/vinfo/vi [...] RM_RBOT.QQ
C:\WINDOWS\System32\winservice32.exe  
 
les lignes R1/R0 etc etc.. hijackées tu peux les fixer
 
les lignes 04 on retrouve les exe et autres véroles  
mais tu devrais faire une analyse virale pour traiter tes virus, l'hijack va neutraliser mais pas erradiquer, c'est pas un outil antivirus
 
pas de parefeu? active le parefeu d'xp par défaut, met ton antivirus à jour et scanne ton ordi, la restauration système désactivée + en mode sans échec + en ayant accès à tous les dossiers système
affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> coche "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>> décoche la case "Masquer les fichiers protégés du système d'exploitation *
 
attend les avis des pros :)


Message édité par western-shadow le 03-11-2004 à 17:42:13

---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 04-11-2004 à 06:02:57    

j'ai aussi pris la peine de faire un scan online par ravantivirus.com dont voici le rapport
 
Scan started at 04/11/2004 05:48:18
 
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\nazga\Local Settings\Temp\THI3B9F.tmp\localNrd.cab->polall1l.exe - TrojanDownloader:Win32/Agent.AE -> Infected
C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected
C:\WINDOWS\system32\winservice32.exe->(UPXW) - Exploit:Win32/RpcDcom.gen! -> Infected
 
Scanned
============================
 Objects: 12077
 Directories: 889
 Archives: 375
 Size(Kb): 1638067
 Infected files: 3
 
Found
============================
 Viruses found: 3
 Suspicious files: 0
 Disinfected files: 0
 Mail files: 31  
 
si sa peut vous évitez de me le demander ;)


Message édité par nazga le 04-11-2004 à 06:03:08
Reply

Marsh Posté le 04-11-2004 à 10:24:01    

re :)
C:\Documents and Settings\nazga\Local Settings\Temp\THI3B9F.tmp\localNrd.cab->polall1l.exe - TrojanDownloader:Win32/Agent.AE -> Infected  
tu dois vider ton cache internet>options internet>supprimer les cookies et les fichiers Temp + vide ta corbeille (c'est un fichier archive/cab crée par ton antivirus et déjà isolé, faut faire du ménage un peu!) + 1 nettoyage de disque (programmes>accessoires>outils système - répond OK à TOUT)
 
C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected
C:\WINDOWS\system32\winservice32.exe Exploit:Win32/RpcDcom.gen! -> Infected  
 
pour les 2 autres  
1) assûre-toi d'avoir accès à tous les fichiers
affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> coche "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>> décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" *
2) passe en mode sans échec
recherche et supprime selon l'indication de l'antivirus
C:\WINDOWS>\system32>\ou >system etc../les exe (infected files) citées plus haut (avec les nettoyages de base au reboot!!)
 
met ton système à jour, ton antivirus à jour, ton firewall en action, refait un scan de contrôle + sers-toi des antitrojans, spys  & Co pour dévéroler ton ordi (qui en a GRAND besoin)
+ refait un nouveau log hijack


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed