Infection résistante
bidule40
Messages postés
192
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Salut à tous
J'ai un portable Samsung 1.00ghz 112 de Ram 20 G Ddur ntfs sous windows xp(initial).
Apres avoir viré plusieurs vers et trojan il me reste deux fichiers que je n'arrive pas à virer même aprés démarrage en mode sans echec et en utilisant killbox.Je ne retrouve pas les fichiers indiqués même en afichant les dossiers cachés.
Il s'agit de la ligne 02 BHO no name et des deux lignes O20 de mon log hijack.
Les solutions ne sont pas nombreuses
Logfile of HijackThis v1.99.1
Scan saved at 12:31:38, on 04/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\ssqnl.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\ljhig.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O20 - Winlogon Notify: ljhig - C:\WINDOWS\System32\ljhig.dll
O20 - Winlogon Notify: ssqnl - C:\WINDOWS\SYSTEM32\ssqnl.dll
Autre question est ce que je peux installer SP2 malgré une maigre mémoire?
Je suis preneur pour toutes solutions. D'avance merci.
J'ai un portable Samsung 1.00ghz 112 de Ram 20 G Ddur ntfs sous windows xp(initial).
Apres avoir viré plusieurs vers et trojan il me reste deux fichiers que je n'arrive pas à virer même aprés démarrage en mode sans echec et en utilisant killbox.Je ne retrouve pas les fichiers indiqués même en afichant les dossiers cachés.
Il s'agit de la ligne 02 BHO no name et des deux lignes O20 de mon log hijack.
Les solutions ne sont pas nombreuses
Logfile of HijackThis v1.99.1
Scan saved at 12:31:38, on 04/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\ssqnl.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\ljhig.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O20 - Winlogon Notify: ljhig - C:\WINDOWS\System32\ljhig.dll
O20 - Winlogon Notify: ssqnl - C:\WINDOWS\SYSTEM32\ssqnl.dll
Autre question est ce que je peux installer SP2 malgré une maigre mémoire?
Je suis preneur pour toutes solutions. D'avance merci.
A voir également:
- Infection résistante
- Infection winrmsrv ✓ - Forum Virus
- Infection fahcore_a8 ✓ - Forum Virus
- Infection ad.doubleclick.net ✓ - Forum Virus
- Infection FileRepMetagen - Forum Virus
- Infection WonderShare ✓ - Forum Virus
12 réponses
salut
essaye ca
ouvrir Hijackthis là en bas droite CONFIG puis onglet MISCtools, là « Delete a file on reboot », cliq dessus et suivre chemin de fichier à effacer, il indique alors « voulez-vous redémarrer maintenant », cliq sur NON si d’autres fichiers sont à sélectionner et à nouveau « Delete a file on reboot » .. puis cliq OUI quand tous les fichiers sont sélectionnés
normalement les fichiers devraient etre eliminer au redemarrage
tiens nous au courant
essaye ca
ouvrir Hijackthis là en bas droite CONFIG puis onglet MISCtools, là « Delete a file on reboot », cliq dessus et suivre chemin de fichier à effacer, il indique alors « voulez-vous redémarrer maintenant », cliq sur NON si d’autres fichiers sont à sélectionner et à nouveau « Delete a file on reboot » .. puis cliq OUI quand tous les fichiers sont sélectionnés
normalement les fichiers devraient etre eliminer au redemarrage
tiens nous au courant
C:\WINDOWS\System32\ljhig.dll
C:\WINDOWS\SYSTEM32\ssqnl.dll
fais ca avant
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements:
C:\WINDOWS\SYSTEM32\ssqnl.dll
fais ca avant
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements:
Hello,
Ben, dis-moi si j'ai tort, mais une DLL identique en 02 et 020, c'est Agent.CS.
Pour s'en débarrasser, il faut faire comme suit :
Désactiver la restauration système
Clic droit sur poste de travail > propriétés > onglet restauration système > puis COCHER "désactiver la restauration système".
Télécharger process xp ici:
http://www.sysinternals.com/files/procexpnt.zip
Télécharger Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
Se déconnecter du net.
Fermer toutes les applications en cours.
1]
- Dézipper ProcessXP et double cliquer sur processxp.exe
- Dans la fenêtre principale de processxp, double cliquer sur winlogon.exe
- Dans la nouvelle fenêtre qui s'ouvre, cliquer sur threads.
- Ne sélectionner que les lignes qui contiennent ssqnl.dll puis cliquer sur kill pour chacune des lignes trouvées.
- Une fois fait, valide OK.
2]
- Dans la fenêtre principale de processxp double clic sur explorer.exe
- Dans la nouvelle fenêtre qui s'ouvre cliquer sur threads
- Ne sélectionner que les lignes qui contiennent ssqnl.dll puis cliquer sur kill pour chacune des lignes trouvées.
- une fois fait, valide OK
3]
- Lancer HijackThis
- Cliquer sur "do a system scan only"
- Cocher la case au début de ces lignes:
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\ssqnl.dll
O20 - Winlogon Notify: ljhig - C:\WINDOWS\System32\ljhig.dll
O20 - Winlogon Notify: ssqnl - C:\WINDOWS\SYSTEM32\ssqnl.dll
- Valider avec "fix checked"
4]
- Double clique sur killbox.exe (Pocket Killbox)
- Cocher "delete on reboot"
- Dans "Full Path of File to Delete", copie et colle:
C:\WINDOWS\System32\ljhig.dll
C:\WINDOWS\SYSTEM32\ssqnl.dll
- Cliquer sur la croix rouge
- Une fenêtre apparaît pour confirmation, cliquer YES .
- Une seconde fenêtre te demande si tu veux redémarrer, clique sur YES.
Laisse le pc redémarrer.
Et après reposte un log HijackThis.
Ben, dis-moi si j'ai tort, mais une DLL identique en 02 et 020, c'est Agent.CS.
Pour s'en débarrasser, il faut faire comme suit :
Désactiver la restauration système
Clic droit sur poste de travail > propriétés > onglet restauration système > puis COCHER "désactiver la restauration système".
Télécharger process xp ici:
http://www.sysinternals.com/files/procexpnt.zip
Télécharger Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
Se déconnecter du net.
Fermer toutes les applications en cours.
1]
- Dézipper ProcessXP et double cliquer sur processxp.exe
- Dans la fenêtre principale de processxp, double cliquer sur winlogon.exe
- Dans la nouvelle fenêtre qui s'ouvre, cliquer sur threads.
- Ne sélectionner que les lignes qui contiennent ssqnl.dll puis cliquer sur kill pour chacune des lignes trouvées.
- Une fois fait, valide OK.
2]
- Dans la fenêtre principale de processxp double clic sur explorer.exe
- Dans la nouvelle fenêtre qui s'ouvre cliquer sur threads
- Ne sélectionner que les lignes qui contiennent ssqnl.dll puis cliquer sur kill pour chacune des lignes trouvées.
- une fois fait, valide OK
3]
- Lancer HijackThis
- Cliquer sur "do a system scan only"
- Cocher la case au début de ces lignes:
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\ssqnl.dll
O20 - Winlogon Notify: ljhig - C:\WINDOWS\System32\ljhig.dll
O20 - Winlogon Notify: ssqnl - C:\WINDOWS\SYSTEM32\ssqnl.dll
- Valider avec "fix checked"
4]
- Double clique sur killbox.exe (Pocket Killbox)
- Cocher "delete on reboot"
- Dans "Full Path of File to Delete", copie et colle:
C:\WINDOWS\System32\ljhig.dll
C:\WINDOWS\SYSTEM32\ssqnl.dll
- Cliquer sur la croix rouge
- Une fenêtre apparaît pour confirmation, cliquer YES .
- Une seconde fenêtre te demande si tu veux redémarrer, clique sur YES.
Laisse le pc redémarrer.
Et après reposte un log HijackThis.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Avec ces cases cochées, je retrouve les fichiers mais si j'essaie soit l'un soit l'autre je retrouve toujours ces deux lignes.
Je vais essayer en mode sans echec et les virer manuellement.
je te tiens au courant
Je vais essayer en mode sans echec et les virer manuellement.
je te tiens au courant
Ok bien reçu
Je viens d'essayer en mode sans echecde virer manuellement et avec killbox mais il ne veut pas.
J'essaie ta methode
Merci
Je viens d'essayer en mode sans echecde virer manuellement et avec killbox mais il ne veut pas.
J'essaie ta methode
Merci
Ca à marcher pour ssqnl.dll mais l'autre ne veut pas partir. Avec killbox il me mets que le dossier ne paut pas être effacé.
A+
A+
Ouep, normal, la méthode que je t'ai proposée ne marche que pour les similitudes de dll en 02 et 020. C'est déjà cool que ça ait été concluant pour
Pour le reste, je laisse les plus expérimentés t'aider !
Bubye !
Pour le reste, je laisse les plus expérimentés t'aider !
Bubye !
Oups, attends, j'avais oublié une ligne, on recommence !
1]
- Dézipper ProcessXP et double cliquer sur processxp.exe
- Dans la fenêtre principale de processxp, double cliquer sur winlogon.exe
- Dans la nouvelle fenêtre qui s'ouvre, cliquer sur threads.
- Ne sélectionner que les lignes qui contiennent ljhig.dll puis cliquer sur kill pour chacune des lignes trouvées.
- Une fois fait, valide OK.
2]
- Dans la fenêtre principale de processxp double clic sur explorer.exe
- Dans la nouvelle fenêtre qui s'ouvre cliquer sur threads
- Ne sélectionner que les lignes qui contiennent ljhig.dll puis cliquer sur kill pour chacune des lignes trouvées.
- une fois fait, valide OK
3]
- Lancer HijackThis
- Cliquer sur "do a system scan only"
- Cocher la case au début de ces lignes:
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\ljhig.dll
O20 - Winlogon Notify: ljhig - C:\WINDOWS\System32\ljhig.dll
- Valider avec "fix checked"
4]
- Double clique sur killbox.exe (Pocket Killbox)
- Cocher "delete on reboot"
- Dans "Full Path of File to Delete", copie et colle:
C:\WINDOWS\System32\ljhig.dll
- Cliquer sur la croix rouge
- Une fenêtre apparaît pour confirmation, cliquer YES .
- Une seconde fenêtre te demande si tu veux redémarrer, clique sur YES.
Laisse le pc redémarrer.
Et après reposte un log HijackThis.
1]
- Dézipper ProcessXP et double cliquer sur processxp.exe
- Dans la fenêtre principale de processxp, double cliquer sur winlogon.exe
- Dans la nouvelle fenêtre qui s'ouvre, cliquer sur threads.
- Ne sélectionner que les lignes qui contiennent ljhig.dll puis cliquer sur kill pour chacune des lignes trouvées.
- Une fois fait, valide OK.
2]
- Dans la fenêtre principale de processxp double clic sur explorer.exe
- Dans la nouvelle fenêtre qui s'ouvre cliquer sur threads
- Ne sélectionner que les lignes qui contiennent ljhig.dll puis cliquer sur kill pour chacune des lignes trouvées.
- une fois fait, valide OK
3]
- Lancer HijackThis
- Cliquer sur "do a system scan only"
- Cocher la case au début de ces lignes:
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\ljhig.dll
O20 - Winlogon Notify: ljhig - C:\WINDOWS\System32\ljhig.dll
- Valider avec "fix checked"
4]
- Double clique sur killbox.exe (Pocket Killbox)
- Cocher "delete on reboot"
- Dans "Full Path of File to Delete", copie et colle:
C:\WINDOWS\System32\ljhig.dll
- Cliquer sur la croix rouge
- Une fenêtre apparaît pour confirmation, cliquer YES .
- Une seconde fenêtre te demande si tu veux redémarrer, clique sur YES.
Laisse le pc redémarrer.
Et après reposte un log HijackThis.
C'est déja fait.
Tu m'as enlevé une bonne épine du pied.Sur cet ordi j'ai trouvé des trucs pas possibles. Vers espions, Trojans, un fichier iexpllorer (oui avec 2 l), ces cochonneries de winlogon. Ca fait deux jours que je m'use les yeux.
Mais pour aujourd'hui c'est fini.
Je te remercie de tes bons conseils.
A+
Tu m'as enlevé une bonne épine du pied.Sur cet ordi j'ai trouvé des trucs pas possibles. Vers espions, Trojans, un fichier iexpllorer (oui avec 2 l), ces cochonneries de winlogon. Ca fait deux jours que je m'use les yeux.
Mais pour aujourd'hui c'est fini.
Je te remercie de tes bons conseils.
A+
Normal, tu n'as ni antivirus ni firewall résidents, à moins que tu sois derrière un serveur... mais même.
Tu peux en trouver de performants et gratuits ici :
http://www.commentcamarche.net/faq/sujet-1630-Se-pr%E9munir-des-virus-et-autres-salet%E9s-pas-si-compliqu%E9
Et tes versions XP et IE ne sont pas à jour, ton système est vulnérable aux failles de sécurité Windows, or les correctifs sont efficaces contre la plupart des WORMS.
Dans ton intérêt, va les mettre à jour sur ce lien :
http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=fr
Les versions les plus récentes sont WindowsXP SP2, et Internet Explorer 6 SP2.
Si possible, essaie au moins de mettre à jour vers WindowsXP SP1.
Bonne soirée :-)
Tu peux en trouver de performants et gratuits ici :
http://www.commentcamarche.net/faq/sujet-1630-Se-pr%E9munir-des-virus-et-autres-salet%E9s-pas-si-compliqu%E9
Et tes versions XP et IE ne sont pas à jour, ton système est vulnérable aux failles de sécurité Windows, or les correctifs sont efficaces contre la plupart des WORMS.
Dans ton intérêt, va les mettre à jour sur ce lien :
http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=fr
Les versions les plus récentes sont WindowsXP SP2, et Internet Explorer 6 SP2.
Si possible, essaie au moins de mettre à jour vers WindowsXP SP1.
Bonne soirée :-)
