Win32.Rootkit.H
the_rock93
Messages postés
95
Statut
Membre
-
KeAnE -
KeAnE -
Bonjour,
j'ai vu en parcourant que je n'étais pas le seule infectée par ce virus.. je me permets donc de joindre mon analyse hijackthis, pourriez-vous m'aider à m'en sortir, s'il vous plait?
Logfile of HijackThis v1.99.1
Scan saved at 20:43:06, on 29/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\dwwin.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\hafiane\LOCALS~1\Temp\mwavscan.com
C:\DOCUME~1\hafiane\LOCALS~1\Temp\kavss.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\hafiane\LOCALS~1\Temp\Rar$EX12.860\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121336274311
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
j'ai vu en parcourant que je n'étais pas le seule infectée par ce virus.. je me permets donc de joindre mon analyse hijackthis, pourriez-vous m'aider à m'en sortir, s'il vous plait?
Logfile of HijackThis v1.99.1
Scan saved at 20:43:06, on 29/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\dwwin.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\hafiane\LOCALS~1\Temp\mwavscan.com
C:\DOCUME~1\hafiane\LOCALS~1\Temp\kavss.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\hafiane\LOCALS~1\Temp\Rar$EX12.860\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121336274311
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
24 réponses
Hello!
Tout d abord, si tu n est pas equipe de Killbox, tu peux le telecharger ici:
http://www.beez.ch/pages/reinstall.html
Tes fichiers infectes sont les suivants:
C:\Program Files\Eset\nod32krn.exe
tu fais copier -> coller dans Killbox et tu cliques sur la croix blanche.
ENsuite, tu relances Hijacthis, et tu selectionnes la ligne ou c est ecrit:
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
(dans hijackthis, pas dans le log...)
ensuite tu cliques sur fix checked...
dis m en des nouvelles!
As tu besoin de plus d explications?
@+
BeeZ
Tout d abord, si tu n est pas equipe de Killbox, tu peux le telecharger ici:
http://www.beez.ch/pages/reinstall.html
Tes fichiers infectes sont les suivants:
C:\Program Files\Eset\nod32krn.exe
tu fais copier -> coller dans Killbox et tu cliques sur la croix blanche.
ENsuite, tu relances Hijacthis, et tu selectionnes la ligne ou c est ecrit:
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
(dans hijackthis, pas dans le log...)
ensuite tu cliques sur fix checked...
dis m en des nouvelles!
As tu besoin de plus d explications?
@+
BeeZ
merci je les suup mes le probleme c que j'ai nod32 est il me dit quil a un virus nommer win32/RootKit.H cheval de troie il est dans H:\Documents and Settings\hafiane1\msdirectx.sys mes je fais supprimer mes il revient je ne sais pas pourquoi merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut,
grrr une vraie merde, bcp en sont victime, je suis pas specialiste et je me suis pas encore interresse a ceci mais jvais m y metttre ^^
télécharge hijackthis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
Dezippz le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lancez le puis:
clic sur "do a system scan and save logfile" (voir video)
faire un copier coller du log entier sur le forum.
-->aide en image:(Merci a Balltrap34 pour cette realisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
a+
grrr une vraie merde, bcp en sont victime, je suis pas specialiste et je me suis pas encore interresse a ceci mais jvais m y metttre ^^
télécharge hijackthis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
Dezippz le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lancez le puis:
clic sur "do a system scan and save logfile" (voir video)
faire un copier coller du log entier sur le forum.
-->aide en image:(Merci a Balltrap34 pour cette realisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
a+
merci de ton aide
Logfile of HijackThis v1.99.1
Scan saved at 02:09:11, on 30/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\SYSTEM32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\inaqyu.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
H:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
H:\WINDOWS\System32\wincfgkop9.exe
H:\Program Files\Eset\nod32kui.exe
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
H:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\eMule\emule.exe
H:\Program Files\Eset\nod32krn.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\Program Files\Internet Explorer\iexplore.exe
H:\WINDOWS\system32\cmd.exe
H:\WINDOWS\system32\rundll32.exe
H:\Documents and Settings\hafiane1\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.com/8SE/1?http://toolbar.msn.fr/installsuccess.aspx&&FORM=TOOLBR&DI=3025&CM=MsgrInstall
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,inaqyu.exe
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [msnappau] "H:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "H:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinConfig9324] wincfgkop9.exe
O4 - HKLM\..\Run: [nod32kui] "H:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Zone Labs Client] H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [WinConfig9324] wincfgkop9.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: MSN Messenger 7.0.lnk = H:\Program Files\MSN Messenger\msnmsgr.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122323581608
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - H:\Program Files\Eset\nod32krn.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - H:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe
Logfile of HijackThis v1.99.1
Scan saved at 02:09:11, on 30/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\SYSTEM32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\inaqyu.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
H:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
H:\WINDOWS\System32\wincfgkop9.exe
H:\Program Files\Eset\nod32kui.exe
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
H:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\eMule\emule.exe
H:\Program Files\Eset\nod32krn.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\Program Files\Internet Explorer\iexplore.exe
H:\WINDOWS\system32\cmd.exe
H:\WINDOWS\system32\rundll32.exe
H:\Documents and Settings\hafiane1\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.com/8SE/1?http://toolbar.msn.fr/installsuccess.aspx&&FORM=TOOLBR&DI=3025&CM=MsgrInstall
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,inaqyu.exe
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [msnappau] "H:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "H:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinConfig9324] wincfgkop9.exe
O4 - HKLM\..\Run: [nod32kui] "H:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Zone Labs Client] H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [WinConfig9324] wincfgkop9.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: MSN Messenger 7.0.lnk = H:\Program Files\MSN Messenger\msnmsgr.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122323581608
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - H:\Program Files\Eset\nod32krn.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - H:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe
Bonjour,
Méthode a suivre dans l'ordre...
----------------------------------------------------------------------------
¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:
1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.html
2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch francais, tu pourra le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite video ici d'utilisation:(merci a Moe31 pour cette realisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf
3/Clean Up 312:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
----------------------------------------------------------------------------
¤Démarre en mode sans echec :
Pour cela, tu tapote la touche F8 des le debut de l allumage du pc sans t arreter
Une fenetre va souvrir tu te deplaces avec les fleches du clavier sur demarrer en mode sans echec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
¤Désactive ta restauration systeme:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer !
----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as telecharger avant)
3/http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
----------------------------------------------------------------------------
¤Relance Hijack This, coche les cases devant ces lignes et ensuite clik sur fix:
F2 - REG:system.ini: UserInit=userinit.exe,inaqyu.exe
O4 - HKLM\..\Run: [WinConfig9324] wincfgkop9.exe
O4 - HKLM\..\RunServices: [WinConfig9324] wincfgkop9.exe
----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si present)
H:\WINDOWS\System32\inaqyu.exe
H:\WINDOWS\System32\wincfgkop9.exe
----------------------------------------------------------------------------
Passe adaware et vire tous se qu il trouve
----------------------------------------------------------------------------
Passe spybot et vire tous se qu il trouve
----------------------------------------------------------------------------
Tu vide ta poubelle et tu redemarre en mode normal et refait un Hijack
puis:
lance un scan chez RAV :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
Precise tes soucis si il en restes....
Tiens moi au courant
a+
PS:---->le responsable = emule ;-)
Méthode a suivre dans l'ordre...
----------------------------------------------------------------------------
¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:
1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.html
2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch francais, tu pourra le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite video ici d'utilisation:(merci a Moe31 pour cette realisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf
3/Clean Up 312:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
----------------------------------------------------------------------------
¤Démarre en mode sans echec :
Pour cela, tu tapote la touche F8 des le debut de l allumage du pc sans t arreter
Une fenetre va souvrir tu te deplaces avec les fleches du clavier sur demarrer en mode sans echec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
¤Désactive ta restauration systeme:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer !
----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as telecharger avant)
3/http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
----------------------------------------------------------------------------
¤Relance Hijack This, coche les cases devant ces lignes et ensuite clik sur fix:
F2 - REG:system.ini: UserInit=userinit.exe,inaqyu.exe
O4 - HKLM\..\Run: [WinConfig9324] wincfgkop9.exe
O4 - HKLM\..\RunServices: [WinConfig9324] wincfgkop9.exe
----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si present)
H:\WINDOWS\System32\inaqyu.exe
H:\WINDOWS\System32\wincfgkop9.exe
----------------------------------------------------------------------------
Passe adaware et vire tous se qu il trouve
----------------------------------------------------------------------------
Passe spybot et vire tous se qu il trouve
----------------------------------------------------------------------------
Tu vide ta poubelle et tu redemarre en mode normal et refait un Hijack
puis:
lance un scan chez RAV :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
Precise tes soucis si il en restes....
Tiens moi au courant
a+
PS:---->le responsable = emule ;-)
re,
je pars me coucher,
soit on reprend demain, soit qqun prendra la suite
bonne nuit, vbon courage
a+
je pars me coucher,
soit on reprend demain, soit qqun prendra la suite
bonne nuit, vbon courage
a+
re merci mes j'ai fais se quie tu ma dit mes il revient je ne sais pas pourquoi en faite tien mon rapport merci
Scan started at 30/07/2005 09:37:13
Scanning memory...
Scanning boot sectors...
Scanning files...
H:\Documents and Settings\hafiane1\msdirectx.Vsys - VirTool:WinNT/FURootkit.A -> Infected
Scanned
============================
Objects: 23409
Directories: 2183
Archives: 933
Size(Kb): -1837516
Infected files: 1
Found
============================
Viruses found: 1
Suspicious files: 0
Disinfected files: 0
Mail files: 33
Scan started at 30/07/2005 09:37:13
Scanning memory...
Scanning boot sectors...
Scanning files...
H:\Documents and Settings\hafiane1\msdirectx.Vsys - VirTool:WinNT/FURootkit.A -> Infected
Scanned
============================
Objects: 23409
Directories: 2183
Archives: 933
Size(Kb): -1837516
Infected files: 1
Found
============================
Viruses found: 1
Suspicious files: 0
Disinfected files: 0
Mail files: 33
As tu essaye de detruire ce fichier avec Killbox?
copier+coller de:
H:\Documents and Settings\hafiane1\msdirectx.Vsys
dans Killbox et tu cliques sur la croix blanche...
ensuites, tu vides la corbeille s'il te l'a remplie.
Je te conseille de redemarrer ensuite et de refaire un HIjackthis.
As tu trouve le service WIndows correspondant (normalement tu devrais si tu as suivi les recommandations de Regis59)
Sinon, ouvre regedit (demarrer->executer: regedit)
et tu vas dans:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services
tu regardes le service qui demarre le fichier H:\Documents and Settings\hafiane1\msdirectx.Vsys, tu fais click droit sur ledit service, puis Proprietes, et ensuite il est ecrit Démarrage.
Et la, il faut desactiver le demarrage.
Ensuite tu devrais pouvoir le virer...
T en sors tu?
BeeZ
copier+coller de:
H:\Documents and Settings\hafiane1\msdirectx.Vsys
dans Killbox et tu cliques sur la croix blanche...
ensuites, tu vides la corbeille s'il te l'a remplie.
Je te conseille de redemarrer ensuite et de refaire un HIjackthis.
As tu trouve le service WIndows correspondant (normalement tu devrais si tu as suivi les recommandations de Regis59)
Sinon, ouvre regedit (demarrer->executer: regedit)
et tu vas dans:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services
tu regardes le service qui demarre le fichier H:\Documents and Settings\hafiane1\msdirectx.Vsys, tu fais click droit sur ledit service, puis Proprietes, et ensuite il est ecrit Démarrage.
Et la, il faut desactiver le demarrage.
Ensuite tu devrais pouvoir le virer...
T en sors tu?
BeeZ
Hello!
desole d etre present par intermitence, je suis en plei nexamens! :) les der,iers de ma vie!!! :D
Pour resumer, ton fichier infecte est: C:\Program Files\Eset\nod32krn.exe
Arrives tu a trouver un service WIndows qui execute ce fichier au demarrage, dans le regedit? Il doit certainement se trouver dans:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services
si tu trouves le service correspondant, arretes le, pareil si tu trouves un service executant l autre fichier dont tu parlais.
Une fois le(s) service(s) arrete(s) essaye de les killer avec hijackthis!
Ca marche toujours pas?
Redemarre en mode sans echec (procedure expliquee dans le message de regis59) et essaye de l effacer, soit avec killbox, soit manuellement. re-essaye tout ce qu on a precedemment explique lorsque tu es en mode sans echec...
Autrement, si tu parles anglais j ai mis une petite marche a suivre sur mon site, a l adresse:
http://www.beez.ch/beezness/Web/security/index.html?cat=TROJ_SERVU.Q
je vais chercher des infos en attendant de tes nouvelles...
bon courage!
@+
BeeZ
desole d etre present par intermitence, je suis en plei nexamens! :) les der,iers de ma vie!!! :D
Pour resumer, ton fichier infecte est: C:\Program Files\Eset\nod32krn.exe
Arrives tu a trouver un service WIndows qui execute ce fichier au demarrage, dans le regedit? Il doit certainement se trouver dans:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services
si tu trouves le service correspondant, arretes le, pareil si tu trouves un service executant l autre fichier dont tu parlais.
Une fois le(s) service(s) arrete(s) essaye de les killer avec hijackthis!
Ca marche toujours pas?
Redemarre en mode sans echec (procedure expliquee dans le message de regis59) et essaye de l effacer, soit avec killbox, soit manuellement. re-essaye tout ce qu on a precedemment explique lorsque tu es en mode sans echec...
Autrement, si tu parles anglais j ai mis une petite marche a suivre sur mon site, a l adresse:
http://www.beez.ch/beezness/Web/security/index.html?cat=TROJ_SERVU.Q
je vais chercher des infos en attendant de tes nouvelles...
bon courage!
@+
BeeZ
salut
personnellement je supprimerais pas C:\Program Files\Eset\nod32krn.exe et ni la ligne dans hijack qui s'y rapporte.
sinon nod32 (ton av) aura quelques problemes lol !
a+
personnellement je supprimerais pas C:\Program Files\Eset\nod32krn.exe et ni la ligne dans hijack qui s'y rapporte.
sinon nod32 (ton av) aura quelques problemes lol !
a+
merci c'est bon en faite j'ai un autre virus trouver par nod32 NewHeur_PE il dise quil est peut etre pas conu
Yep!
moe31, n hesites pas a me dire si je raconte des betises... A vrai dire je connais bcp sur la securite et les malware, mais je commence a peine a me mettre a la desinfection...
J'espere que je t ai pas fait faire n importe quoi...
je vais chercher des infos plus pertinentes avant de continuer...
@+
BeeZ
moe31, n hesites pas a me dire si je raconte des betises... A vrai dire je connais bcp sur la securite et les malware, mais je commence a peine a me mettre a la desinfection...
J'espere que je t ai pas fait faire n importe quoi...
je vais chercher des infos plus pertinentes avant de continuer...
@+
BeeZ
je sais pas ou il se trouve nod32 le dis pas est pour le log tien;
Logfile of HijackThis v1.99.1
Scan saved at 21:44:17, on 30/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\winssh.exe
C:\WINDOWS\System32\wincfgkop9.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\a2 Free\a2start.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\a2 Free\a2scan.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Documents and Settings\hafiane1\Bureau\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Network Access] winssh.exe
O4 - HKLM\..\Run: [WinConfig9324] wincfgkop9.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Network Access] winssh.exe
O4 - HKLM\..\RunServices: [WinConfig9324] wincfgkop9.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: MSN Messenger 7.0.lnk = C:\Program Files\MSN Messenger\msnmsgr.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Logfile of HijackThis v1.99.1
Scan saved at 21:44:17, on 30/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\winssh.exe
C:\WINDOWS\System32\wincfgkop9.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\a2 Free\a2start.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\a2 Free\a2scan.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Documents and Settings\hafiane1\Bureau\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Network Access] winssh.exe
O4 - HKLM\..\Run: [WinConfig9324] wincfgkop9.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Network Access] winssh.exe
O4 - HKLM\..\RunServices: [WinConfig9324] wincfgkop9.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: MSN Messenger 7.0.lnk = C:\Program Files\MSN Messenger\msnmsgr.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
