Kreper
mic
-
michel -
michel -
Bonjour,
mon antivirus, avast, me signale que je suis infecté par win32:kreper-C[Trj]. Depuis Internet Explorer délire complétement (page de démarrage farfelue, plusieurs sites s'ouvrent en même temps, ...). Voici mon log de Hijackthis à qui peut bien me venir en aide. Merci d'avance.
Logfile of HijackThis v1.98.2
Scan saved at 18:30:47, on 07/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\VERITAS Software\Update Manager\sgtray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\fml4tz7d56thd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.free.fr:3128;http=proxy.free.fr:3128
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\W8C6S4~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Microsoft WinUpdate] win32upd.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\fml4tz7d56thd.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdate] win32upd.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft WinUpdate] win32upd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097785593578
O20 - AppInit_DLLs: 1bgkmhzsdoustodll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
mon antivirus, avast, me signale que je suis infecté par win32:kreper-C[Trj]. Depuis Internet Explorer délire complétement (page de démarrage farfelue, plusieurs sites s'ouvrent en même temps, ...). Voici mon log de Hijackthis à qui peut bien me venir en aide. Merci d'avance.
Logfile of HijackThis v1.98.2
Scan saved at 18:30:47, on 07/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\VERITAS Software\Update Manager\sgtray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\fml4tz7d56thd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.free.fr:3128;http=proxy.free.fr:3128
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\W8C6S4~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Microsoft WinUpdate] win32upd.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\fml4tz7d56thd.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdate] win32upd.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft WinUpdate] win32upd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097785593578
O20 - AppInit_DLLs: 1bgkmhzsdoustodll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
52 réponses
re
tu vas te mettre en mode sans echec et en administrateur
verifie a nouveau ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
decocher aussi « masquer les extention dont le type est connue »
Puis fais «Ok» pour valider les changements.
Décocher masquer les extensions dont le type est connu
Et appliquer
----------
la passe par l explorateur et vas sur
c:document and setting et sur tous les utilisateur tu vas sur local setting et tu vide les dossiers temp et les dossiers temp internet file regarde sur tous les utilisateurs
----------
desactive ta restauration si cela n est pas fait
tu vas te mettre en mode sans echec et en administrateur
verifie a nouveau ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
decocher aussi « masquer les extention dont le type est connue »
Puis fais «Ok» pour valider les changements.
Décocher masquer les extensions dont le type est connu
Et appliquer
----------
la passe par l explorateur et vas sur
c:document and setting et sur tous les utilisateur tu vas sur local setting et tu vide les dossiers temp et les dossiers temp internet file regarde sur tous les utilisateurs
----------
desactive ta restauration si cela n est pas fait
Hello
"administrateur" je suis administrateur car seul utilisateur
"tu vas te mettre en mode sans echec" je ne comprends pas
"administrateur" je suis administrateur car seul utilisateur
"tu vas te mettre en mode sans echec" je ne comprends pas
documents and setting ok
all users ok
local setting je ne vois pas
mais ceci
bureau
documents partagés
favoris
menus démarrer
all users ok
local setting je ne vois pas
mais ceci
bureau
documents partagés
favoris
menus démarrer
si tu ne voie pas local setting c est que tu na pas fait ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Puis fais «Ok» pour valider les changements.
Décocher masquer les extensions dont le type est connu
Et appliquer
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Puis fais «Ok» pour valider les changements.
Décocher masquer les extensions dont le type est connu
Et appliquer
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
documents and setting ok
all users ok
local setting je ne vois pas
mais ceci
Application data
bureau
documents partagés
DRM
favoris
menus démarrer
Modèles
Par contre je vois locale setting partout ailleurs sauf là
all users ok
local setting je ne vois pas
mais ceci
Application data
bureau
documents partagés
DRM
favoris
menus démarrer
Modèles
Par contre je vois locale setting partout ailleurs sauf là
Chemin désigné par avast:
C:\Documents and Settings\MICHEL\Local Settings\Temporary Internet Files\Content.IE5\W7OHAR0B\main[1].exe
c'est ici que je nevois rien : Content.IE5\W7OHAR0B\main[1].exe
il désigne aussi C:\windows\fof8t8plpa.exe que je ne vois pas.
J'ai bien cohé et décoché tout ce que tu indique et j'ai désactivé la restauration même si ce la m'inquiète un peu s'il arrive la même chose qu'hier.
C:\Documents and Settings\MICHEL\Local Settings\Temporary Internet Files\Content.IE5\W7OHAR0B\main[1].exe
c'est ici que je nevois rien : Content.IE5\W7OHAR0B\main[1].exe
il désigne aussi C:\windows\fof8t8plpa.exe que je ne vois pas.
J'ai bien cohé et décoché tout ce que tu indique et j'ai désactivé la restauration même si ce la m'inquiète un peu s'il arrive la même chose qu'hier.
dur dur
met toi en mode sans echec
pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
la tu te met en administrateur et la tu doit pouvoir en suivant le chemin trouver le fichier a suppr
met toi en mode sans echec
pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
la tu te met en administrateur et la tu doit pouvoir en suivant le chemin trouver le fichier a suppr
Kreper-I est encore présent...
Cette partie en mode sans échec ok, j'ai vidé tous les dossiers temporaires internet
C:\Documents and Settings\MICHEL\Local Settings\Temporary Internet Files\Content.IE5\W7OHAR0B\main[1].exe
Par contre pour lui : C:\windows\fof8t8plpa.exe toujours pas visible... mais il change de nom à chaque fois et j'étais bien ennuyé vu le nombre d'exécutables qui apparaissaient pour le reconnaitre SI il était là.
Le pc en est donc toujours au même point. Je vois les virus ou trojan deviennent de plus en plus compliqué à évincer.
Cette partie en mode sans échec ok, j'ai vidé tous les dossiers temporaires internet
C:\Documents and Settings\MICHEL\Local Settings\Temporary Internet Files\Content.IE5\W7OHAR0B\main[1].exe
Par contre pour lui : C:\windows\fof8t8plpa.exe toujours pas visible... mais il change de nom à chaque fois et j'étais bien ennuyé vu le nombre d'exécutables qui apparaissaient pour le reconnaitre SI il était là.
Le pc en est donc toujours au même point. Je vois les virus ou trojan deviennent de plus en plus compliqué à évincer.
pour celui ci
C:\windows\fof8t8plpa.exe
attend que ton av te donne son emplacement
ne redemarre pas
fait ctrl alt suppr onglet processus et cherche si tu trouve se qui correspond au nom donner par ton av ex:fof8t8plpa.exe
si tu le trouve tu clik dessus une fois et tu clik sur arreter le processus
ensuite tu clik sur demarrer/executer et tu tape msconfig
sur l onglet demarrage tu recherche comme au dessus et si tu trouve tu decoche et appliquer et ok
la via l explorateur tu doit le trouver et tu le suppr et tu vide ta poubelle
C:\windows\fof8t8plpa.exe
attend que ton av te donne son emplacement
ne redemarre pas
fait ctrl alt suppr onglet processus et cherche si tu trouve se qui correspond au nom donner par ton av ex:fof8t8plpa.exe
si tu le trouve tu clik dessus une fois et tu clik sur arreter le processus
ensuite tu clik sur demarrer/executer et tu tape msconfig
sur l onglet demarrage tu recherche comme au dessus et si tu trouve tu decoche et appliquer et ok
la via l explorateur tu doit le trouver et tu le suppr et tu vide ta poubelle
Salut.
De retour sur CCM après des mésaventures... Gros plantage de la machine et de ce fait réintallation complète indispensable, plus rien ne semblait fonctionner normalement. De plus l'écran est resté noir vendredi matin, ma carte graphique, ati radeon 9200 se, est hors service... Penses tu que ce soit lié au virus? J'ai installé une carte nvidia que j'avais et qui fonctionne très bien.
Merci. Michel.
De retour sur CCM après des mésaventures... Gros plantage de la machine et de ce fait réintallation complète indispensable, plus rien ne semblait fonctionner normalement. De plus l'écran est resté noir vendredi matin, ma carte graphique, ati radeon 9200 se, est hors service... Penses tu que ce soit lié au virus? J'ai installé une carte nvidia que j'avais et qui fonctionne très bien.
Merci. Michel.
