GROS PB de VIRUS !!! mon log Hijack ici ^^

hercule -  
S!Ri Messages postés 932 Statut Contributeur sécurité -
Bonjour, J'ai eu une grosse série de virus, vers, ...

Je viens de réinstaller complètement mon système ( windows 2000 pro ) et j'ai déja rechopper un tas de bestioles :((((

Pourtant j'ai suivi les instructions que m'avais donné la hotline de mon anti virus ....

Un peu d'aide me serai d'un grand secours .... merci par avance

Voila mon log hijack

Logfile of HijackThis v1.99.1
Scan saved at 03:46:13, on 28/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dxdmain.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\net1\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Msxml32DOMDocument Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\WINNT\System32\dllcache\msxml32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122393370337
O23 - Service: Sophos AutoUpdate Service (ActiveLinkClient) - Unknown owner - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DirectX Graphics (dxdmain) - Unknown owner - C:\WINNT\System32\dxdmain.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SWEEPSRV.SYS

7 réponses

  1. hercule
     
    Ola, merci de ton attention sur ce "dxdmain" malade ^^

    Voici donc le log du regsrch

    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "dxdmain" 28/07/2005 13:23:26

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dxdmain]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dxdmain]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXDMAIN]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXDMAIN\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXDMAIN\0000]
    "Service"="dxdmain"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXDMAIN\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXDMAIN\0000\Control]
    "ActiveService"="dxdmain"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxdmain]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxdmain\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxdmain\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxdmain\Enum]
    "0"="Root\\LEGACY_DXDMAIN\\0000"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dxdmain]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\dxdmain]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXDMAIN]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXDMAIN\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXDMAIN\0000]
    "Service"="dxdmain"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxdmain]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxdmain\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dxdmain]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dxdmain]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000]
    "Service"="dxdmain"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000\Control]
    "ActiveService"="dxdmain"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxdmain]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxdmain\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxdmain\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxdmain\Enum]
    "0"="Root\\LEGACY_DXDMAIN\\0000"

    [HKEY_USERS\S-1-5-21-448539723-436374069-839522115-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
    "000"="dxdmain.exe"
    0
  2. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    re'

    copie colle ce qu'il y a entre les ----- dans le bloc note

    -----
    Windows Registry Editor Version 5.00

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dxdmain]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dxdmain]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXDMAIN]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxdmain]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dxdmain]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\dxdmain]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXDMAIN]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxdmain]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dxdmain]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dxdmain]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxdmain]

    -----
    enregistre le sur ton bureau avec pour nom: clean.reg
    (Au moment de sauvegarder avec le bloc-note, règle le type sur tous les fichiers)
    Double clic sur le fichier (fusionne avec le registre).

    Redemarre Windows,
    puis supprime le fichier en gras:
    C:\WINDOWS\System32\dxdmain.exe

    reposte un rapport HijackThis
    a+
    0
    1. Rumbacampus Messages postés 1244 Statut Membre 184
       
      Salut S!iRi

      Une question tout c..pour ma gouverne, pourquoi tu remets ces clés ?

      Merci @+
      Rumbacampus
      0
      1. S!Ri Messages postés 932 Statut Contributeur sécurité 10 > Rumbacampus Messages postés 1244 Statut Membre
         
        Salut Rumbacampus

        En fait je les supprime du registre.
        Regarde le signe - situé en début de ligne juste après le [

        Cela sert à supprimer le service dxdmain.exe.
        Celui ci étant actif dès le démarrage de windows, on ne peut pas supprimer le fichier.

        On désinscrit donc le service, on redemarre, et on peut effacer le fichier infecté.

        Comme tu peut constater, les clés:
        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Control\SafeBoot\Minimal\
        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Control\SafeBoot\Network\
        activent ce service en mode sans echec (minimal et Network), ce qui complique le nettoyage de la machine.

        Il existe un très bon tutorial HijackThis ici (Anglais, désolé)
        http://www.bleepingcomputer.com/forums/HijackThis_Tutorial_How_to_use_HijackThis_to_remove_Browser_Hijackers__and__Spyware-tut42.html#O23Diag

        a+
        0
      2. Rumbacampus Messages postés 1244 Statut Membre 184 > S!Ri Messages postés 932 Statut Contributeur sécurité
         
        Re

        OK, ça m'avait échappé. Moi j'aurais commencé par arrêter et désactiver le service par service.msc et l'effacer par la commande sc delete, etc...mais ta solution est plus rapide et plus accessible ;

        salut & @+
        0
      3. S!Ri Messages postés 932 Statut Contributeur sécurité 10 > S!Ri Messages postés 932 Statut Contributeur sécurité
         
        re'

        Parfois Arrêter/Désactiver le service ne fonctionne pas.
        Même avec la commande sc stop.
        Sur Win2000, la commande sc n'existe pas.
        Passer par le registre est certe plus radical et plus risqué.

        a+
        0
      4. Rumbacampus Messages postés 1244 Statut Membre 184 > S!Ri Messages postés 932 Statut Contributeur sécurité
         
        Re

        OK, merci, bonne journée

        @+
        0
  3. hercule
     
    VOila j'ai fait la manip indiqué ci dessus ^^

    ET g pu enfin effacer ce dxdmain.exe

    Merci 1000 fois !

    Voila le log de hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 23:56:12, on 28/07/2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\System32\mgabg.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\Program Files\Sophos\Sophos Anti-Virus\SWEEPSRV.SYS
    C:\WINNT\Explorer.EXE
    C:\Program Files\Sophos\AutoUpdate\ALMon.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\Documents and Settings\net1\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122393370337
    O23 - Service: Sophos AutoUpdate Service (ActiveLinkClient) - Unknown owner - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
    O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SWEEPSRV.SYS

    J'attend tes consignes pour savoir si je peux le reconnecter à internet ( car là je suis sur un autre ordi :)

    ET je me demande comment j'ai pu rechopper aussi vite un vers alors que je n'est installer que le système + windows update + anti virus ... et regler outlook express pour mes 6 comptes email ^^
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    Salut,

    Pour moi ton rapport est bon.
    Que dit ton antivirus ?

    Installe un Firewall, un antivirus ne suffit pas:
    http://www.inoculer.com/firewall5.php3
    Sygate, Kerio, Zone Alarm...

    a+
    0
  6. hercule
     
    Mon anti virus ne detecte plus rien ... et comme moi

    il te remercie !

    Je m'installe de suite un firewall !

    Big UP ^^

    et bonne conituation
    0
  7. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    re'

    Content pour toi.
    A +
    0