Virus qui bloque l'acces aux postes clés (
samlagaure
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour
J ai quasiment tout essayé rien n'y fait :-(
voici le rapport sachant que tous les acces sont refusés sans raisons apparentes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\s3hotkey.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe
C:\Program Files\Lexmark X5100 Series\lxbabmon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\QUICKT~1\qttask.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\cscript.exe
J ai quasiment tout essayé rien n'y fait :-(
voici le rapport sachant que tous les acces sont refusés sans raisons apparentes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\s3hotkey.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe
C:\Program Files\Lexmark X5100 Series\lxbabmon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\QUICKT~1\qttask.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\cscript.exe
A voir également:
- Virus qui bloque l'acces aux postes clés (
- Code puk bloqué - Guide
- Acces rapide - Guide
- Téléphone bloqué code verrouillage - Guide
- Pad ordinateur bloqué - Guide
- Virus mcafee - Accueil - Piratage
139 réponses
Re,
Avecta config, formatter, ça peut être tout perdre. En plus, comme tu n'as pas de Cd Windows, je ne vois pas bien comment tu peux faire. Et comme on ne sait pas si les fichoiers de restaurtation sur le pc ne sont pas infectés, il vaut mieux pas.
Mais sur, ton problème est un peu compliqué.
mais j'ai d'autres choses à voir avant.
1) on va essayer une autre méthode pour les 017 (si c'est possible) :
Aller dans Démarrer > Panneau de configuration > Connexions > clique droit sur la connexion > Propriétés > onglet Gestion de réseau
Mettre en surbrillance Protocole Internet (tcp/ip) puis cliquer sur le bouton Propriétés.
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne 017 =>(85.255.114.73 85.255.112.227 etc...)
Pour les éliminer, cocher : "Obtenir les adresses des serveurs DNS automatiquement" puis cliquer 2 fois sur"Ok" et redémarrer le PC.
2) Télécharge sur ton bureau DSS (ex Comboscan) :
(choisis enregistrer, puis Bureau comme emplacement)
http://www.geekstogo.com/forum/files/
clique sur download (un peu bas dans la page)
Ferme toutes les applications en cours.
Double-clic sur comboscan.exe pour lancer l'outil.
Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK.
A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK.
Le rapport Comboscan.txt va s'afficher, copie le dans ta prochaine réponse. Si un rapport complémentaire a été créé, poste le aussi dans ta réponse.
3) Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de : ruins
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient
4) Si tu as réussi à faire le 1), remets un log Hijackthis.
@+
Avecta config, formatter, ça peut être tout perdre. En plus, comme tu n'as pas de Cd Windows, je ne vois pas bien comment tu peux faire. Et comme on ne sait pas si les fichoiers de restaurtation sur le pc ne sont pas infectés, il vaut mieux pas.
Mais sur, ton problème est un peu compliqué.
mais j'ai d'autres choses à voir avant.
1) on va essayer une autre méthode pour les 017 (si c'est possible) :
Aller dans Démarrer > Panneau de configuration > Connexions > clique droit sur la connexion > Propriétés > onglet Gestion de réseau
Mettre en surbrillance Protocole Internet (tcp/ip) puis cliquer sur le bouton Propriétés.
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne 017 =>(85.255.114.73 85.255.112.227 etc...)
Pour les éliminer, cocher : "Obtenir les adresses des serveurs DNS automatiquement" puis cliquer 2 fois sur"Ok" et redémarrer le PC.
2) Télécharge sur ton bureau DSS (ex Comboscan) :
(choisis enregistrer, puis Bureau comme emplacement)
http://www.geekstogo.com/forum/files/
clique sur download (un peu bas dans la page)
Ferme toutes les applications en cours.
Double-clic sur comboscan.exe pour lancer l'outil.
Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK.
A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK.
Le rapport Comboscan.txt va s'afficher, copie le dans ta prochaine réponse. Si un rapport complémentaire a été créé, poste le aussi dans ta réponse.
3) Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de : ruins
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient
4) Si tu as réussi à faire le 1), remets un log Hijackthis.
@+
Re !
(Il faut savoir que le panneau de config ne m'est plus proposé, j'accède aux connections reseaux par l'icone de connexion internet en bas à droite de mon ecran)
Lorsque je suis sur le lien que tu m'indiques TCP/IP je n'ai accès à aucun des 3 boutons en dessous (PROPRIETES) y compris un panneau indique en amont : "Vous n'avez pas les privilèges etc..."
Je tente le 2) et 3)
(Il faut savoir que le panneau de config ne m'est plus proposé, j'accède aux connections reseaux par l'icone de connexion internet en bas à droite de mon ecran)
Lorsque je suis sur le lien que tu m'indiques TCP/IP je n'ai accès à aucun des 3 boutons en dessous (PROPRIETES) y compris un panneau indique en amont : "Vous n'avez pas les privilèges etc..."
Je tente le 2) et 3)
Chiotte de chiotte !
Je suis sincèrement désolé de voir tous tes efforts anéantis de la sorte, lorsque je lance DSS.exe j'ai un panneau d'erreur suivant "System Scanner cannot continue because you do not have administrative privilege...(je traduis la suite) vous aurez la possiblité de choisir un compte utilisateur utilisez celui de l'administrateur" Donc un panneau s'ouvre me demandant quel compte je souhaite utiliser et pour le compte administrateur il me demande un mot de passe ! je suis quasi sûr que quand bien même je trouverai ce mot de passe ca ne fonctionnerait pas.
Te sens-tu la pugnacité de continuer ?
Je suis sincèrement désolé de voir tous tes efforts anéantis de la sorte, lorsque je lance DSS.exe j'ai un panneau d'erreur suivant "System Scanner cannot continue because you do not have administrative privilege...(je traduis la suite) vous aurez la possiblité de choisir un compte utilisateur utilisez celui de l'administrateur" Donc un panneau s'ouvre me demandant quel compte je souhaite utiliser et pour le compte administrateur il me demande un mot de passe ! je suis quasi sûr que quand bien même je trouverai ce mot de passe ca ne fonctionnerait pas.
Te sens-tu la pugnacité de continuer ?
Re,
c'est bun peu ma faute. Je me suis trop concentré sur wareout, négligeant le problème des droits.
On va essayer de les restaurer.
Je conseille plutôt l'utilisation d'un outil plus gentil dans ces cas-là : VX2Finder (de Option^Explicit). C'est un outil qui ne sert plus, mais il demeure disponible. Faut juste le lancer et cliquer sur le bouton "Restore Policy", puis redémarrer. Sans danger.
Télécharge VX2Finder (de Option^Explicit) ici
http://www.downloads.subratam.org/VX2Finder.exe
Lance le et cliquer sur le bouton "Restore Policy", puis redémarre.
essaye le panneau de configuration.
Sinon, ouvre l'explorateur (tu peux ?), outils, options des dossiers, affichage
[Coche] « afficher les dossiers et fichiers cachés »
[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
[Décoche] « masquer les extensions dont le type est connu »
Puis fais [appliquer] pour valider les changements.
Et [Ok]
recommence la suppression des fichiers avec OTMoveIt.
Courage. J'ai encore des idées.
@+
c'est bun peu ma faute. Je me suis trop concentré sur wareout, négligeant le problème des droits.
On va essayer de les restaurer.
Je conseille plutôt l'utilisation d'un outil plus gentil dans ces cas-là : VX2Finder (de Option^Explicit). C'est un outil qui ne sert plus, mais il demeure disponible. Faut juste le lancer et cliquer sur le bouton "Restore Policy", puis redémarrer. Sans danger.
Télécharge VX2Finder (de Option^Explicit) ici
http://www.downloads.subratam.org/VX2Finder.exe
Lance le et cliquer sur le bouton "Restore Policy", puis redémarre.
essaye le panneau de configuration.
Sinon, ouvre l'explorateur (tu peux ?), outils, options des dossiers, affichage
[Coche] « afficher les dossiers et fichiers cachés »
[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
[Décoche] « masquer les extensions dont le type est connu »
Puis fais [appliquer] pour valider les changements.
Et [Ok]
recommence la suppression des fichiers avec OTMoveIt.
Courage. J'ai encore des idées.
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Rien ne semble changer et l'explorateur était déjà configuré de cette manière lorsque je suis allé dessus
Re,
VX2Finder n'a rien changé dans les droits ?
est ce que tu accèdes au registre (démarrer, exécuter, regedit) ?
@+
VX2Finder n'a rien changé dans les droits ?
est ce que tu accèdes au registre (démarrer, exécuter, regedit) ?
@+
Oui j'y parviens ca m'ouvre une fenetre "editeur du registre" avec une liste
(PS: la commande "executer a toujours été disponible mais lorsque je lance la commande qui lance le panneau de config par exple j'ai un panneau d'erreur restriction)
(PS: la commande "executer a toujours été disponible mais lorsque je lance la commande qui lance le panneau de config par exple j'ai un panneau d'erreur restriction)
re,
as tu lancé OAD sur ruins ?
Avec quel résultat ?
Reprends la maneuvre avec DSS. Quand il te fais changer pour un utilisateur administrateur, choist le compte administrateur. Pour le mot de passe, tu ne fais rien (tu cliques sur OK ce qui revient à ne pas en avoir).
Tu me dis pour OAD et pour DSS.
@+
as tu lancé OAD sur ruins ?
Avec quel résultat ?
Reprends la maneuvre avec DSS. Quand il te fais changer pour un utilisateur administrateur, choist le compte administrateur. Pour le mot de passe, tu ne fais rien (tu cliques sur OK ce qui revient à ne pas en avoir).
Tu me dis pour OAD et pour DSS.
@+
Je viens de lancer OAD en tappant "ruins" puis 6 pour type de recherche je le laisse finir avant de lancer DSS
Comme tu peux constater, je n'ai pas tout fermé pdt ce tps est-ce un probleme ?
Comme tu peux constater, je n'ai pas tout fermé pdt ce tps est-ce un probleme ?
OAD cherche et vers la fin me lache une liste de "access denied" puis enfin file C\...n'a pas été trouvé.
DSS me mets un panneau d'erreur avec echec ouverture de session pour cause de restriction de stratégie appliquée ou mot de passe vide non utilisé ou restriction administrateur
DSS me mets un panneau d'erreur avec echec ouverture de session pour cause de restriction de stratégie appliquée ou mot de passe vide non utilisé ou restriction administrateur
Re,
1) relance OAD et cherche sur winhp32
poste le rapport si tu en as un.
2) ouvre le registre (démarrer, exécuter, regedit).
Cherche la clé HKEY_LOCAL_MACHINE\System\CurentControlset\Services\Tcpip\Parameters.
Tu dois voir une ligne avec NameServer REG_SZ 85.255.113.115 85.255.112.70
Si tu fais un clic droit sur Name Server, as tu le droit de modifier ?
3) As tu un répertoire i386 sur ton ordi ? Si oui, quel est sa taille ?
Si tu fais clic droit sur C: (dans l'explorateur), as tu l'onglet sécurité ?
Tu as un XP familial ou un pro ?
Aurais tu accès à un autre ordi ayant le même windows ?
As tu les moyens de faire une sauvegarde de tes fichiers perso ? (sur un disque externe par exemple)
Je n'ai pas bien compris si tu peux ou non démarrer en mode sans échec (soit sur ta session soit sur une session administrateur).
Aurais tu la possibilité de créer une nouvelle session avec les droits d'administrateur ?
@+
1) relance OAD et cherche sur winhp32
poste le rapport si tu en as un.
2) ouvre le registre (démarrer, exécuter, regedit).
Cherche la clé HKEY_LOCAL_MACHINE\System\CurentControlset\Services\Tcpip\Parameters.
Tu dois voir une ligne avec NameServer REG_SZ 85.255.113.115 85.255.112.70
Si tu fais un clic droit sur Name Server, as tu le droit de modifier ?
3) As tu un répertoire i386 sur ton ordi ? Si oui, quel est sa taille ?
Si tu fais clic droit sur C: (dans l'explorateur), as tu l'onglet sécurité ?
Tu as un XP familial ou un pro ?
Aurais tu accès à un autre ordi ayant le même windows ?
As tu les moyens de faire une sauvegarde de tes fichiers perso ? (sur un disque externe par exemple)
Je n'ai pas bien compris si tu peux ou non démarrer en mode sans échec (soit sur ta session soit sur une session administrateur).
Aurais tu la possibilité de créer une nouvelle session avec les droits d'administrateur ?
@+
salut tous le monde
juste au passage cette ligne me fait penser au bon vieux CoolWebSearch
je vous dirait normal avec un windows encore en sp1
peut etre faire utiliser ceci si il existe toujours pour voir
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix
ensuite passer
CWShredder
https://www.trendmicro.com/en_us/forHome.html
il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next
a++
juste au passage cette ligne me fait penser au bon vieux CoolWebSearch
je vous dirait normal avec un windows encore en sp1
peut etre faire utiliser ceci si il existe toujours pour voir
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix
ensuite passer
CWShredder
https://www.trendmicro.com/en_us/forHome.html
il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next
a++
Bonsoir,
merci balltrap.
Qu'il y avait du coolwebsearch, j'avais vu (au moins certaines 02 en sont la trace).
Mais je n'ai pas rencontré encore cette infection et je ne pensais pas que ce devait être la priorité.
Malagaure-IBM, faire les recommendations de balltrap en priorité.
Les liens sont actifs.
Je verrai le résultat au jour.
@+
merci balltrap.
Qu'il y avait du coolwebsearch, j'avais vu (au moins certaines 02 en sont la trace).
Mais je n'ai pas rencontré encore cette infection et je ne pensais pas que ce devait être la priorité.
Malagaure-IBM, faire les recommendations de balltrap en priorité.
Les liens sont actifs.
Je verrai le résultat au jour.
@+
re
peut etre pas une priorite mais tu y verras plus clair apres je pense
demande lui par hazard en faisant une recherche si il trouve des fichiers comme par exemple
cmd.com
regedit.com
a++
peut etre pas une priorite mais tu y verras plus clair apres je pense
demande lui par hazard en faisant une recherche si il trouve des fichiers comme par exemple
cmd.com
regedit.com
a++
Ave Lyonnais 92 !
Pour OAD c'est acces denied à chaque coup ! et impossible de trouver le fichier resultat.txt en bout de course pour le log ad hoc.
Je teste l'action à Balltrap . Bonne nuit à tous!
Pour OAD c'est acces denied à chaque coup ! et impossible de trouver le fichier resultat.txt en bout de course pour le log ad hoc.
Je teste l'action à Balltrap . Bonne nuit à tous!
SPHJFIX ne fonctionne pas to remove virus access needed ... voici le log
(8/27/07 00:28:59) SPSeHjFix started v1.1.2
(8/27/07 00:28:59) OS: WinXP Service Pack 1 (5.1.2600)
(8/27/07 00:28:59) Language: français
(8/27/07 00:28:59) Win-Path: C:\WINDOWS
(8/27/07 00:28:59) System-Path: C:\WINDOWS\System32
(8/27/07 00:28:59) Temp-Path: C:\DOCUME~1\IBM\LOCALS~1\Temp\
(8/27/07 00:29:09) No admin rights->terminate
Je suis sur XP pro
Comment fait on pour rechercher les repertoires i386 / cmd.com /regedit.com et leur taille
Je lance le second lien remove Coolwebsearch, j'en resterai là pour ajrd'hui
(8/27/07 00:28:59) SPSeHjFix started v1.1.2
(8/27/07 00:28:59) OS: WinXP Service Pack 1 (5.1.2600)
(8/27/07 00:28:59) Language: français
(8/27/07 00:28:59) Win-Path: C:\WINDOWS
(8/27/07 00:28:59) System-Path: C:\WINDOWS\System32
(8/27/07 00:28:59) Temp-Path: C:\DOCUME~1\IBM\LOCALS~1\Temp\
(8/27/07 00:29:09) No admin rights->terminate
Je suis sur XP pro
Comment fait on pour rechercher les repertoires i386 / cmd.com /regedit.com et leur taille
Je lance le second lien remove Coolwebsearch, j'en resterai là pour ajrd'hui
Bonjour,
- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !
- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redemanderl'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller
___________________________________________________________________
Télécharge clean.zip de malekal_morte
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier Clean qui se trouve sur ton bureau.
Double-clic sur clean.cmd.
Une fenêtre noire va apparaître, suis les consignes. Choisis l'option 1
Poste le rapport qui se trouve ici C:\rapport_clean.txt
@+
- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !
- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redemanderl'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller
___________________________________________________________________
Télécharge clean.zip de malekal_morte
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier Clean qui se trouve sur ton bureau.
Double-clic sur clean.cmd.
Une fenêtre noire va apparaître, suis les consignes. Choisis l'option 1
Poste le rapport qui se trouve ici C:\rapport_clean.txt
@+
Bonjour
Au lancement de scan dialHelp après avoir choisi 1 un panneau d'erreur intitulé LFiles :
Erreur d'execution '75'
Erreur dans le chamin d'accès
Au lancement de scan dialHelp après avoir choisi 1 un panneau d'erreur intitulé LFiles :
Erreur d'execution '75'
Erreur dans le chamin d'accès
Bonjour,
clean.zip ?
pour diaghelp, essaye l'option 2 et l'option 3. Tout ne va pas fonctionner mais on devrait avoir des choses (j'ai testé sur un ordi sans droits d'admin).
Est ce que la fonction rechercher fonctionne ?
Si oui, peux tu lister les fichiers *.exe et *.dll créees dans les jours autour de l'apparition des problèmes sérieux ?
C'est avec ça que tu peux rechercher i386 (désolé d'avoir zappé cetet réponse).
J'aurais besoin que tu répondes à mes (nombreuses) queqtions du post 33. Merci.
@+
clean.zip ?
pour diaghelp, essaye l'option 2 et l'option 3. Tout ne va pas fonctionner mais on devrait avoir des choses (j'ai testé sur un ordi sans droits d'admin).
Est ce que la fonction rechercher fonctionne ?
Si oui, peux tu lister les fichiers *.exe et *.dll créees dans les jours autour de l'apparition des problèmes sérieux ?
C'est avec ça que tu peux rechercher i386 (désolé d'avoir zappé cetet réponse).
J'aurais besoin que tu répondes à mes (nombreuses) queqtions du post 33. Merci.
@+
