Sujet Précédent Sujet Suivant

Virus HLDRRR.EXE

Résolu
kingtimstott Messages postés 64 Statut Membre -  
 nesquicklg -
Bonjours tout le monde, j ai un gros probleme avec un virus nomer 'hldrrr.exe' j ai apris qu il se loger dans C:\WINDOWS\system32\hldrrr.exe et aussi sur le bureau, je l ai ai suppromer avec Hijackthis (je ne l ai vois plus !!!) j ai reinstaller Avast! Mais, je ne peux pas le lancer, j ai l impression aue hldrrr.exe est toujours la parce que je pense qu il a tendence a supprimer les antivirus ? je me trompe ? Bref, s il vous plais aider moi comment le suprimmer, comment reinstaller un antivirus ?

Merci mille fois d avance.
A voir également:

60 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le souci concerne un malware nommé hldrrr.exe qui se loge dans C:\WINDOWS\system32 et sur le bureau, et qui peut empêcher durablement le lancement des antivirus et compromettre la sécurité du système. La solution proposée est de télécharger KillBox, lancer le programme puis saisir le chemin du fichier à supprimer, activer la suppression au redémarrage et viser hldrrr.exe et hidr.exe. Il est également conseillé de supprimer les fichiers désignés tels que m_hook.sys et wintems.exe et de supprimer le dossier KillBox, puis vider la corbeille et, si nécessaire, répéter la procédure après redémarrage. En cas de non-redémarrage automatique, effectuer le redémarrage manuellement et reprendre la suppression des fichiers restants pour éviter la persistance du malware après la phase initiale.

Généré automatiquement par IA
sur la base des meilleures réponses
Réponse 1 / 60
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

contre
C:\WINDOWS\system32\hldrrr.exe
c:\Documents and Settings\VOTRE NOM D'UTILISATEUR\Application Data\hidires\hidr.exe
c:\Documents and Settings\VOTRE NOM D'UTILISATEUR\Application Data\hidires\m_hook.sys
c:\WINDOWS\system32\wintems.exe
et tous les fichiers de bagle,
le meilleur outil que je connaise est elibagla.

Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt

Bonne suite
7
Réponse 2 / 60
kingtimstott Messages postés 64 Statut Membre 10
 
Bref, c est toujours pas ca mais bon j ai trouver la solution pour les futur preneur de hldrrr.exe

Telechareger KillBox
http://www.downloads.subratam.org/KillBox.exe

Lancer KillBox

- Dans "Full Path of File to Delete"
Copiez et collez:

C:\WINDOWS\system32\hldrrr.exe

- Cochez : delete on reboot
- Cliquez sur la croix rouge
- Une fenêtre va apparaître pour confirmation de suppression clique sur YES

Si le systeme ne redemare pas automatiquement faite le manuelement.

Faite pareil avec ces fichiers :

c:\Documents and Settings\VOTRE NOM D'UTILISATEUR\Application Data\hidires\hidr.exe

c:\Documents and Settings\VOTRE NOM D'UTILISATEUR\Application Data\hidires\m_hook.sys

c:\WINDOWS\system32\wintems.exe

Cherchez et supprimez le dossier nommée : !KillBox (C:\)
Ce dossier contien tout les virus que t'as supprimé avec the kill box

Videz la corbeille
1
oualiu
 
merci
gars ça a marché pour moi aussi
0
Réponse 3 / 60
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

c'est ça qui t'a couté 90 euros :

C:\Program Files\eMule\Incoming\SWFTEXT 1.3 (WITH CRACK).ZIP

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
1
Réponse 4 / 60
boulepate62 Messages postés 24256 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 584
 
Salut

le processus il faut le supprimer manuellement pas avec hijackthis ;-)
0
kingtimstott Messages postés 64 Statut Membre 10
 
Il n y a pas de processus hldrrr.exe dans le gestionaire de tache de windows. Et ou ne peux pas le supprimer... c est un virus.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 60
boulepate62 Messages postés 24256 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 584
 
Clic sur démarrer, rechercher, tous les fichiers et dossiers, entre le nom du processus.
Lance la recherche et devrait te le trouver et supprime le.

**Si un fichier/dossier persiste lors de la suppression fait ceci:
- Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisis "mode sans echec" attends un peu..
Puis va supprimer les fichiers/dossiers, vide ta corbeille et redémarre ton PC normalement.
0
Réponse 6 / 60
boulepate62 Messages postés 24256 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 584
 
Bah une recherche avec Windows ne donnait rien ? bizarre quand même ..
-1
Réponse 7 / 60
Digs
 
Autre facon : télécharger process explorer (gratuit) : https://www.clubic.com/telecharger-fiche14566-process-explorer.html puis l'installer, l'éxécuter ... Là trouver hldrrr qui se planque derrière un autre processus. Il ne reste plus qu'a faire clique droit et kill process tree (ou kill process tou court je me rapelle plus :( ... ) Et voila un virus en moins (en principe)
0
andre
 
Salut,

J'ai essayé de trouver HLRRR.EXE avec PROCEXP.EXE, mais impossible de trouver.
Est-ce à cause de mon antivirus qui l'a déjà DEPLACE ?

merci pour ta reponse

André
0
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537 > andre
 
Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm
A bientôt
0
Réponse 8 / 60
Gollgott
 
Merci a vous tous...Comme un gros noob que je suis j ai moi aussi ete verole.
Probleme resolue grace a vous.
0
LaetitiaH Messages postés 169 Statut Membre 1
 
J'ai le même problème
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
Comment t'en es tu sorti ?
0
Réponse 9 / 60
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

ne poste pas à tout va.

Tu dois avoir une variante spécifique;

On verra avec les nouveaux scans;

@+
0
Réponse 10 / 60
Orchis Messages postés 9 Statut Membre
 
Bonjour, j'ai moi aussi ce problème de hldrrr.exe que je ne trouve pas sous ce nom dans m on système 32. Voici le rapport du scan

Sun Dec 30 17:17:48 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Restaurada Clave: "SafeBoot\Minimal y Network"

Sun Dec 30 17:19:24 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun Dec 30 17:19:46 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\eMule\Incoming\SWFTEXT 1.3 (WITH CRACK).ZIP --> Eliminado Bagle

Nº Total de Directorios: 8905
Nº Total de Ficheros: 125636
Nº de Ficheros Analizados: 12875
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Exploración Detenida por el Usuario.

Sun Dec 30 17:24:51 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\WINTEMS.EXE.VIR --> Infectado.

Nº Total de Directorios: 9184
Nº Total de Ficheros: 129546
Nº de Ficheros Analizados: 15164
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0

Sun Dec 30 17:36:38 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Sun Dec 30 17:36:42 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 9184
Nº Total de Ficheros: 129543
Nº de Ficheros Analizados: 15164
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0

J'espère que vous trouverez la solution à m'apporter car j'ai déjà dû faire formater il y a deux mois et ça m'a coûté 90 euros et donc vous comprendrez que je n'ai pas envie de recommencer la manoeuvre. Merci à vous.
0
Réponse 11 / 60
Orchis Messages postés 9 Statut Membre
 
Merci beaucoup Lyonnais, j'en suis finalement venue à bout avec KillBox et j'ai pu remettre m on pare feu et mon anti virus. J'utilise Avast et je ne comprends pas pourquoi il n'a pas intercepter cette saloperie ? En avez-vous un à me conseiller ? Avant j'avais Kaspersky mais celui ci me posait problème et c'est donc sur l'avis d'internautes et de mon dépanneur que j'ai mis Avast.
0
Réponse 12 / 60
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

tu peux essayer antivir, mais je ne suis pas sur qu'il bloque bagle mieux que avast.

Tu as un parefeu qui contrôle les connexions sortantes ?
0
Réponse 13 / 60
Orchis Messages postés 9 Statut Membre
 
Oui bien sû r, j'ai mon pare feu Windows mais il paraît qu'il marche pas super bien.
0
Réponse 14 / 60
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

il ne contrôle pas les connexions sortantes.

Va là, tu as toute une panoplie avec les tutos :

http://www.malekal.com/menu_tutorials_logiciels.php

N''oublie pas, un seul parefeu ==> désactiver celui de windows quand l'autre est installé.
0
Réponse 15 / 60
Orchis Messages postés 9 Statut Membre
 
Je te remercie infiniment, je vais aller voir ça de plus près. Je te souhaite une bonne fin de journée et surtout un très bon réveillon et je te présente tous mes voeux pour 2008 et à tous les forumeurs aussi.
0
Réponse 16 / 60
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

de rien pour l'aide.

n'oublie pas le sens de ma première remarque : de plus en plus de crack vont être infectés, et par beaucouup plus méchant que bagle.

Merci de tesbons voeux. Les miens en retour.
0
Réponse 17 / 60
Orchis Messages postés 9 Statut Membre
 
Je prends bonne note de ce que tu m'as dit, pas de problème mais nous serons de moins en moins à l'abri de ce genre de choses. Il y a de plus en plus de petits malins pour embêter le monde des pauvres internautes que nous sommes et pourtant c'est tellement gai.
0
Réponse 18 / 60
lechampion
 
hi all et bonne année à tous
chez moi le hldrrr.exe ne s'efface pas !
malgres l'installation d elibagle : il ne le trouve pas
quand je scan le reg edit je le trouve et je l'efface mais il reviens à chaque demarrage et bloque l'antivurs et la connection internet !
avez vous un autre issus ?
il se trouve dans c:\windows\system32\drivers\hldrrr.exe mais pas visible dans ce repertoire
avec hijack il ne le trouve pas non plus !

il doit avoir un autre logiciel qui le controle !!!!

help please ?
0
Réponse 19 / 60
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

1) le rapport de elibagla (tu as bien la dernière version ?)

2) Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

3) télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
0
Réponse 20 / 60
lechampion Messages postés 30 Statut Membre 2
 
merci
lyonnais92
Logfile of HijackThis v1.99.1
Scan saved at 05:06:39, on 02/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\vphc700.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [phc700] C:\WINDOWS\vphc700.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
  • 1
  • 2
  • 3

Discussions similaires

Comment faire le signe au carré ² sur iPhone ?
Chloe0007 -
Jaks- -

5 réponses
Erreur CE-35888-2
Melvyn -
MPMP10 -

1 réponse