Sujet Précédent Sujet Suivant

GROS PB de VIRUS !!! mon log Hijack ici ^^

hercule -  
S!Ri Messages postés 932 Statut Contributeur sécurité -
Bonjour, J'ai eu une grosse série de virus, vers, ...

Je viens de réinstaller complètement mon système ( windows 2000 pro ) et j'ai déja rechopper un tas de bestioles :((((

Pourtant j'ai suivi les instructions que m'avais donné la hotline de mon anti virus ....

Un peu d'aide me serai d'un grand secours .... merci par avance

Voila mon log hijack

Logfile of HijackThis v1.99.1
Scan saved at 03:46:13, on 28/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dxdmain.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\net1\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Msxml32DOMDocument Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\WINNT\System32\dllcache\msxml32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122393370337
O23 - Service: Sophos AutoUpdate Service (ActiveLinkClient) - Unknown owner - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DirectX Graphics (dxdmain) - Unknown owner - C:\WINNT\System32\dxdmain.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SWEEPSRV.SYS
A voir également:

7 réponses

Réponse 1 / 7
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Salut,

Télécharge ceci:
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Execute le contenu du zip et lance une recherche sur dxdmain
colle le rapport ici.

a+
0
Réponse 2 / 7
hercule
 
Ola, merci de ton attention sur ce "dxdmain" malade ^^

Voici donc le log du regsrch

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "dxdmain" 28/07/2005 13:23:26

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dxdmain]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dxdmain]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXDMAIN]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXDMAIN\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXDMAIN\0000]
"Service"="dxdmain"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXDMAIN\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXDMAIN\0000\Control]
"ActiveService"="dxdmain"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxdmain]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxdmain\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxdmain\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxdmain\Enum]
"0"="Root\\LEGACY_DXDMAIN\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dxdmain]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\dxdmain]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXDMAIN]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXDMAIN\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXDMAIN\0000]
"Service"="dxdmain"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxdmain]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxdmain\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dxdmain]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dxdmain]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000]
"Service"="dxdmain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000\Control]
"ActiveService"="dxdmain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxdmain]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxdmain\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxdmain\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxdmain\Enum]
"0"="Root\\LEGACY_DXDMAIN\\0000"

[HKEY_USERS\S-1-5-21-448539723-436374069-839522115-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
"000"="dxdmain.exe"
0
Réponse 3 / 7
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
re'

copie colle ce qu'il y a entre les ----- dans le bloc note

-----
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dxdmain]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dxdmain]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXDMAIN]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxdmain]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dxdmain]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\dxdmain]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXDMAIN]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxdmain]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dxdmain]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dxdmain]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxdmain]

-----
enregistre le sur ton bureau avec pour nom: clean.reg
(Au moment de sauvegarder avec le bloc-note, règle le type sur tous les fichiers)
Double clic sur le fichier (fusionne avec le registre).

Redemarre Windows,
puis supprime le fichier en gras:
C:\WINDOWS\System32\dxdmain.exe

reposte un rapport HijackThis
a+
0
Rumbacampus Messages postés 1244 Statut Membre 184
 
Salut S!iRi

Une question tout c..pour ma gouverne, pourquoi tu remets ces clés ?

Merci @+
Rumbacampus
0
S!Ri Messages postés 932 Statut Contributeur sécurité 10 > Rumbacampus Messages postés 1244 Statut Membre
 
Salut Rumbacampus

En fait je les supprime du registre.
Regarde le signe - situé en début de ligne juste après le [

Cela sert à supprimer le service dxdmain.exe.
Celui ci étant actif dès le démarrage de windows, on ne peut pas supprimer le fichier.

On désinscrit donc le service, on redemarre, et on peut effacer le fichier infecté.

Comme tu peut constater, les clés:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Control\SafeBoot\Network\
activent ce service en mode sans echec (minimal et Network), ce qui complique le nettoyage de la machine.

Il existe un très bon tutorial HijackThis ici (Anglais, désolé)
http://www.bleepingcomputer.com/forums/HijackThis_Tutorial_How_to_use_HijackThis_to_remove_Browser_Hijackers__and__Spyware-tut42.html#O23Diag

a+
0
Rumbacampus Messages postés 1244 Statut Membre 184 > S!Ri Messages postés 932 Statut Contributeur sécurité
 
Re

OK, ça m'avait échappé. Moi j'aurais commencé par arrêter et désactiver le service par service.msc et l'effacer par la commande sc delete, etc...mais ta solution est plus rapide et plus accessible ;

salut & @+
0
S!Ri Messages postés 932 Statut Contributeur sécurité 10 > S!Ri Messages postés 932 Statut Contributeur sécurité
 
re'

Parfois Arrêter/Désactiver le service ne fonctionne pas.
Même avec la commande sc stop.
Sur Win2000, la commande sc n'existe pas.
Passer par le registre est certe plus radical et plus risqué.

a+
0
Rumbacampus Messages postés 1244 Statut Membre 184 > S!Ri Messages postés 932 Statut Contributeur sécurité
 
Re

OK, merci, bonne journée

@+
0
Réponse 4 / 7
hercule
 
VOila j'ai fait la manip indiqué ci dessus ^^

ET g pu enfin effacer ce dxdmain.exe

Merci 1000 fois !

Voila le log de hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 23:56:12, on 28/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SWEEPSRV.SYS
C:\WINNT\Explorer.EXE
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Documents and Settings\net1\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122393370337
O23 - Service: Sophos AutoUpdate Service (ActiveLinkClient) - Unknown owner - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SWEEPSRV.SYS

J'attend tes consignes pour savoir si je peux le reconnecter à internet ( car là je suis sur un autre ordi :)

ET je me demande comment j'ai pu rechopper aussi vite un vers alors que je n'est installer que le système + windows update + anti virus ... et regler outlook express pour mes 6 comptes email ^^
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Salut,

Pour moi ton rapport est bon.
Que dit ton antivirus ?

Installe un Firewall, un antivirus ne suffit pas:
http://www.inoculer.com/firewall5.php3
Sygate, Kerio, Zone Alarm...

a+
0
Réponse 6 / 7
hercule
 
Mon anti virus ne detecte plus rien ... et comme moi

il te remercie !

Je m'installe de suite un firewall !

Big UP ^^

et bonne conituation
0
Réponse 7 / 7
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
re'

Content pour toi.
A +
0

Discussions similaires

TI college plus (calculatrice probleme)
help39 -
Utilisateur anonyme -

3 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses