Attaques multiviral
bart
-
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour,
j'ai de multiples virus :
W32.spybot.worm
bloodhound.w32.1
srv32.exe
et ce...apres ma 1ere heure de connexion ADSL...super !!!!
Je vous livre ici mon log avec Hitjack..merci de votre aide
Logfile of HijackThis v1.97.7
Scan saved at 21:14:44, on 09/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Borland\InterBase\Bin\ibguard.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Borland\InterBase\Bin\ibserver.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\QuicktimeMngr.exe
C:\WINDOWS\System32\systemproc.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\WINDOWS\System32\msnmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wvsvc.exe
D:\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\rlsdpsnz.exe
O4 - HKLM\..\Run: [wvsvc] wvsvc.exe
O4 - HKLM\..\Run: [netservices] recall.exe
O4 - HKLM\..\Run: [Microsoftkeysd] systemproc.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] wind32.exe
O4 - HKLM\..\Run: [Microsoft Services Unitd] MSU32.exe
O4 - HKLM\..\Run: [Msn Messenger] msnmsgs.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\RunServices: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKLM\..\RunServices: [Msn Messenger] msnmsgs.exe
O4 - HKLM\..\RunServices: [wvsvc] wvsvc.exe
O4 - HKLM\..\RunServices: [netservices] recall.exe
O4 - HKLM\..\RunServices: [Microsoftkeysd] systemproc.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] wind32.exe
O4 - HKLM\..\RunServices: [Microsoft Services Unitd] MSU32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKCU\..\Run: [wvsvc] wvsvc.exe
O4 - HKCU\..\Run: [netservices] recall.exe
O4 - HKCU\..\Run: [Microsoftkeysd] systemproc.exe
O4 - HKCU\..\Run: [Msn Messenger] msnmsgs.exe
O4 - HKCU\..\Run: [Microsoft Services Unitd] MSU32.exe
O4 - HKCU\..\RunServices: [Msn Messenger] msnmsgs.exe
O4 - HKLM\..\RunOnce: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKLM\..\RunOnce: [Microsoftkeysd] systemproc.exe
O4 - HKCU\..\RunOnce: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKCU\..\RunOnce: [Microsoftkeysd] systemproc.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
j'ai de multiples virus :
W32.spybot.worm
bloodhound.w32.1
srv32.exe
et ce...apres ma 1ere heure de connexion ADSL...super !!!!
Je vous livre ici mon log avec Hitjack..merci de votre aide
Logfile of HijackThis v1.97.7
Scan saved at 21:14:44, on 09/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Borland\InterBase\Bin\ibguard.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Borland\InterBase\Bin\ibserver.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\QuicktimeMngr.exe
C:\WINDOWS\System32\systemproc.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\WINDOWS\System32\msnmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wvsvc.exe
D:\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\rlsdpsnz.exe
O4 - HKLM\..\Run: [wvsvc] wvsvc.exe
O4 - HKLM\..\Run: [netservices] recall.exe
O4 - HKLM\..\Run: [Microsoftkeysd] systemproc.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] wind32.exe
O4 - HKLM\..\Run: [Microsoft Services Unitd] MSU32.exe
O4 - HKLM\..\Run: [Msn Messenger] msnmsgs.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\RunServices: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKLM\..\RunServices: [Msn Messenger] msnmsgs.exe
O4 - HKLM\..\RunServices: [wvsvc] wvsvc.exe
O4 - HKLM\..\RunServices: [netservices] recall.exe
O4 - HKLM\..\RunServices: [Microsoftkeysd] systemproc.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] wind32.exe
O4 - HKLM\..\RunServices: [Microsoft Services Unitd] MSU32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKCU\..\Run: [wvsvc] wvsvc.exe
O4 - HKCU\..\Run: [netservices] recall.exe
O4 - HKCU\..\Run: [Microsoftkeysd] systemproc.exe
O4 - HKCU\..\Run: [Msn Messenger] msnmsgs.exe
O4 - HKCU\..\Run: [Microsoft Services Unitd] MSU32.exe
O4 - HKCU\..\RunServices: [Msn Messenger] msnmsgs.exe
O4 - HKLM\..\RunOnce: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKLM\..\RunOnce: [Microsoftkeysd] systemproc.exe
O4 - HKCU\..\RunOnce: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKCU\..\RunOnce: [Microsoftkeysd] systemproc.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
A voir également:
- Attaques multiviral
- Crypto et transactions en ligne : comment se protéger contre les attaques ? - Accueil - Guide VPN
3 réponses
salut
avan de traiter HijackThis tu dois scanner ton PC
avec AntiVirus puis avec Spybot S&D
*Pour scan complet il faut pouvoir scanner tous les dossiers donc faire :
Démarrer/PanneauConfiguration/Outils/OptionsDossiers /ongletAffichage et là cocher les lignes
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher
- masquer fichiers protégés du dossier système
Puis cliquer APPLIQUER à TOUS les Dossiers
*Pour effacer efficacement manuellement tu te mets en mode sans échec ou mode VGA, explications là
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020905112131924
-pour windowsXP ou ME redémarrer ordi et tapoter F8 (ou F5 selon config) et choisir « Mode sans échec »
- pour Windows NT ou 9x.XX faire « Démarrer mode VGA »
et s’ils sont dans la restauration il faut la désactiver, explications là
http://www.libellules.ch/desactiver_restauration.php
faire Démarrer/panneauConfiguration/Système et là tu as onglet Restauration
Voilà
*Pour vider le cache et dossier temp
tu cliques sur Démarrer/PanneauConfiguration/OptionsInternet/ onglet « Général » /supprimer les fichiers/ cocher effacer hors connexion
et aussi onglet « Avancé » et là cocher Vider dossier TemporaryInternet…
et vider la Corbeille (« Recycler »)
*Pour nettoyer ordi, faire Démarrer/TousLesProgrammes/Accessoires/OutilsSystèmes/nettoyerSystème/ et là choisir directory à nettoyer généralement C :\
A+
avan de traiter HijackThis tu dois scanner ton PC
avec AntiVirus puis avec Spybot S&D
*Pour scan complet il faut pouvoir scanner tous les dossiers donc faire :
Démarrer/PanneauConfiguration/Outils/OptionsDossiers /ongletAffichage et là cocher les lignes
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher
- masquer fichiers protégés du dossier système
Puis cliquer APPLIQUER à TOUS les Dossiers
*Pour effacer efficacement manuellement tu te mets en mode sans échec ou mode VGA, explications là
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020905112131924
-pour windowsXP ou ME redémarrer ordi et tapoter F8 (ou F5 selon config) et choisir « Mode sans échec »
- pour Windows NT ou 9x.XX faire « Démarrer mode VGA »
et s’ils sont dans la restauration il faut la désactiver, explications là
http://www.libellules.ch/desactiver_restauration.php
faire Démarrer/panneauConfiguration/Système et là tu as onglet Restauration
Voilà
*Pour vider le cache et dossier temp
tu cliques sur Démarrer/PanneauConfiguration/OptionsInternet/ onglet « Général » /supprimer les fichiers/ cocher effacer hors connexion
et aussi onglet « Avancé » et là cocher Vider dossier TemporaryInternet…
et vider la Corbeille (« Recycler »)
*Pour nettoyer ordi, faire Démarrer/TousLesProgrammes/Accessoires/OutilsSystèmes/nettoyerSystème/ et là choisir directory à nettoyer généralement C :\
A+
salut
a tu un pare feu
la chasse et le balltrap ma vrai passion
voir site perso dans profil
a tu un pare feu
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Merci beaucoup...le post précédent m'a permis d'éradiquer les virus....à l'aide de Norton
....par contre.....il y a un véritable souci....Norton déclanche des fenêtres d'alerte comme quoi il supprime des virus qui attaquent mon ordi...(environ toutees les 10 minutes) sauf que le dernier virus...un certain "backdoor.prorat"...est passé et s'est installé...
Que faire, j'ai Windows XP et pas de pare feu...
....par contre.....il y a un véritable souci....Norton déclanche des fenêtres d'alerte comme quoi il supprime des virus qui attaquent mon ordi...(environ toutees les 10 minutes) sauf que le dernier virus...un certain "backdoor.prorat"...est passé et s'est installé...
Que faire, j'ai Windows XP et pas de pare feu...
salut
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.
Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.
Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
