YV-239P une variante de SASSER / BLASTER ?

Résolu
Torti Messages postés 14 Statut Membre -  
 abdoul56 -
Bonjour,

J'ai un problème :
Un virus (très certainement) tente un reboot régulièrement à 06, 09, 10, 38 minutes de chaque heure en affichant la même boîte de dialogue (BLASTER) navrante "Arrêt du système. Veuillez enregistrer tous les travaux en cours et quitter votre session... Cet arrêt a été initié par AUTORITE NT/SYSTEM"

Il ne me laisse que 30 secondes (c'était 60 avec BLASTER je crois), et j'ai un message en espagnol : "'Mon Nom' tienes 30 segundos pa pararme... te lo puse muy facilito... que cagada no? Todo es culpa del YV-239P!"

J'ai bien sûr vérifié tout de suite si mon XP Pro SP2 était à jour => OUI
J'ai vérifié que mon antivirus était à jour (Trend Micro PC-CILLIN v12) => OUI (moteur et définitions des virus)
J'ai fait un scan complet => RIEN
J'ai appliqué les patchs FixBlaster et FixSasser => RIEN

Et là j'ai plus d'idées... j'en suis astreint à faire un "shutdown -a" (un truc qui marche encore...) à chaque 6°, 9°, 10°, 38° minute de chaque heure...

Si quelqu'un a une idée...

Merci d'avance
Configuration: XP Pro SP2 à jour
PC-CILLIN à jour

24 réponses

  • 1
  • 2
  1. Torti Messages postés 14 Statut Membre 4
     
    Ca y est j'ai trouvé...

    Après avoir de nouveau récupéré l'exe sur eMule (je sais je suis maso!)

    je l'ai relancé => pas de réaction du Norton

    Et là idée............

    J'ai été voir dans les tâches planifiées et oh miracle, cette saloperie n'est pas un virus, c'est simplement un truc qui planifie toutes les heures un "shutdown -s -t 30 ...."

    Il m'a donc suffit de supprimer les tâches et le tour était joué!

    Merci tout de même à ceux qui se sont intéressé à mon cas et j'espère que cela servira à d'autres....
    1
    1. Ecirb
       
      Bonjour,
      Pareil mon voir.... j'ai chopé ce truc avec un fichier provenant d'emule.... cela m'a fait la meme chose, des fenetre DOS qui s'ouvrent et je me suis dit que c'etait pas bon... Bref merci pour les commentaires j'avais moi aussi des taches planifiées a gogo...
      Par contre il me reste encore une merdouille: a chaque fois que je veux lancer un prog (word,...) j'ai une série de fenetre DOS qui s'ouvrent et impossible d'ouvrir mon appli. Donc si vous avez des tuyaux a ce sujet, je suis preneurs.
      Merci...
      0
    2. abdoul56
       
      je viens de faire sr que u a di et en effet c'etait dans les taches planifiés....cependant cela ne ressout pas l proleme n entier on est tous infecté ....et potencielement infectable......avec quelques bu qui persistent...merci quand meme jespere que ç servira aux futur parce que j'ai passé 2j 24h24 desu =) tchoo
      0
  2. moe
     
    Salut Torti

    Vraiment content que tu aies trouvé la solution, en fait il était bien caché.
    En tout cas sa servira à ceux qui ont le meme prob que toi.

    bien vu !!

    a+
    1
  3. moe
     
    Salut Torti

    Vraiment content que tu aies trouvé la solution, en fait il était bien caché.
    En tout cas sa servira à ceux qui ont le meme prob que toi.

    bien vu !!

    a+
    1
  4. SAGEA
     
    Salut ,

    Je viens d'avoir le même pb et en lisant ta solution tu m'as sauvé
    la vie. c'est bien des tâches planifiées !

    Merci
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    t'as fait ton scan avec quoi?

    tu devrais le faire avec

    Redemarre normalement, et ensuite fais un scan AV ici:
    http://www.ravantivirus.com/scan/
    Clic sur "To continue without subscribing click here"
    Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
    A la fin de l'analyse, copier/coller le rapport ici
    0
  7. Torti Messages postés 14 Statut Membre 4
     
    Le scan a été fait avec PC-CILLIN v12 de Trend avec les signatures à jour et il n'a rien trouvé. Je fais maintenant un scan avec Norton 2005.

    Dès que j'aurais terminé, je vois ce que ravantivirus donnera...
    0
  8. Torti Messages postés 14 Statut Membre 4
     
    Voilà le résultat du scan RAV

    Scan started at 25/04/2005 16:09:11

    Scanning memory...
    Scanning boot sectors...
    Scanning files...

    Scanned
    ============================
    Objects: 116228
    Directories: 6585
    Archives: 7912
    Size(Kb): 1497243
    Infected files: 0

    Found
    ============================
    Viruses found: 0
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 180

    J'ai également fait un scan avec Norton 2005, rien non plus

    Je ne sais plus quoi faire pour éradiquer ce truc...
    0
  9. Torti Messages postés 14 Statut Membre 4
     
    OK voilà le résultat... pas très explicite!!

    Logfile of HijackThis v1.99.1
    Scan saved at 20:31:35, on 25/04/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Executive Software\Diskeeper\DkService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Temp\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
    O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Hard Disk LED.lnk = ?
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111342025650
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    0
  10. moe
     
    re

    dur dur...
    Aucun processus de suspect dans ton log.
    Tu te souviens à quelle date ca a commencé ?
    Si oui, recherche tous les fichiers datés de ce jour là.
    Dans la boite de dialogue qui s'ouvre, est ce que tu as pu voir un nom de fichier ?(en haut à gauche ou droite).

    C'est bizarre, aucun renseignement sur google sur le message en espagnol que tu recois.

    essaye aussi un scan ici:
    http://www.bitdefender.com/scan/licence.php

    a+
    0
  11. Torti Messages postés 14 Statut Membre 4
     
    En plus je ne parle pas un mot d'espagnol...
    mais j'ai bien compris que je me faisait avoir par un certain YV-239P qui ne me laisse que 30 secondes pour le contrer... quelle saloperie!!!

    Ca a commencé hier... quand aux fichiers modifiés ce jour, j'en ai 200 et rien qui me semble bizarre...

    Pour le scan, ce sera pour demain car 250Go c'est long...
    0
  12. moe
     
    Regarde dans l'observateur d'évenement onglet systeme, si tu trouve des infos .
    T u devrais avoir pour chaques reboots une erreur de mentionnée (croix blanche sur fond rouge).
    Peut etre qu'un nom de fichier est cité...

    a+
    0
  13. Torti Messages postés 14 Statut Membre 4
     
    J'ai trouvé ça dans l'observateur d'événements :
    Type : Informations
    Utilisateur : AUTORITE NT/SYSTEM
    Ordinateur : FRED
    Source : USER32
    Catégorie : Aucun
    ID évén. : 1074

    Description :
    Le processus winlogon.exe a initialisé le redémarrage de FRED pour la raison suivante : Aucun titre à cette raison n'a pu être trouvé
    Raison mineure : 0xff
    Type d'arrêt : s'arrêter.
    Commentaire : Frédéric TORTEL tienes 30 segundos pa pararme... te lo puse muy facilito... que cagada no? Todo es culpa del YV-239P!

    Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.

    Données :
    0000: ff 00 00 80

    Voilà si quelqu'un y voit clair là dedans?
    0
  14. moe
     
    Salut torti

    Ca ramene à blaster, c'est surement une version modifiée.
    Vérifie si un de ces processus est dans ton pc:
    MSBLAST.EXE (variant A)
    PENIS32.EXE (variant B)
    TEEKIDS.EXE (variant C)
    mspatch.exe (variant E)
    mslaugh.exe (variant F)
    enbiei.exe (variant G)
    eschlp.exe
    svchosthlp.exe

    Le correctif microsoft:
    http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074

    Je suppose que le scan chez bitdef n'a rien donné ?

    a+
    0
  15. Torti Messages postés 14 Statut Membre 4
     
    Aucun de ces processus n'est actif

    Le correctif ne s'installe pas car mon XP pro SP2 est à jour nickel!

    Bitdefender => rien

    HELP
    0
  16. moe
     
    tu l'as pris via le p2p, ou apres avoir telechargé un fichier sur le net ?
    0
  17. Torti Messages postés 14 Statut Membre 4
     
    Un fichier récupéré sur eMule, je pense mais pas sûr...
    0
  18. moe
     
    tu te souviens du nom de l'exe ?
    tu as vérifié dans incoming et les dossiers partagés ?
    0
  19. Torti Messages postés 14 Statut Membre 4
     
    Je crois que je sais qui est le coupable, je n'en suis pas sûr car ça n'a pas été explicite... quand j'ai lancé ce truc, ça m'a semblé bizarre car trois fenêtres ms-dos se sont ouvertes et refermées immédiatement. C'est pourquoi je crois qu'il s'agit du coupable, mais c'est pas forcément sûr bien que ce soit le seul exe qui m'ai marqué. Le problème, c'est que je l'ai viré immédiatement
    0
  • 1
  • 2