Virus - rapport hijackthis - Page 2

Résolu
Précédent
  • 1
  • 2
  1. moe
     
    Bonsoir angie, web66

    Juste pour suivre et poser une question à web66, si ça gène pas le topic :

    Pourquoi "Microsoft OCX" dans le *.reg ?

    a+
    0
  2. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    attends, attends,

    dis moi, tu as redémarré en mode sans échec, n'est ce pas ? pas en normal ?

    et le fichier à changer de nom ?

    @+

    0
  3. angiesphere
     
    quand j'ai lancé ComboFix pour la dernière fois, le dernier rapport, mon pc a redémarré tout seul, j'ai eu une invite de combofix qui disait que le pc allait redémarré. ce qu'il a fait.
    Au redémarrage normal, il m'a édité le rapport que je t'ai envoyé.
    Quand je t'ai posté ce rapport, j'ai comparé avec le contenu de mon pc mais dans le c:/, le exe était bel et bien différent du rapport de ComboFix

    C'est ensuite que j'aurais dû redémarré en mode sans échec pour ôter tout çà.
    0
  4. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    ok angie,

    remets moi in hijack stp

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. angiesphere
     
    OK je te fais çà de suite !!

    Sachant que je possède deux PC de test :
    **le 1er, un vieux portable que je devais jeter mais ave un windows xp pro sp2
    **le 2nd, un pc fixe avec idem un windows xp sp2

    Sur le 1er, j'ai branché mon disque dur externe (qui possédait aussi le même fichier exe que dans le c:/) et le pc a été infecté !!! En même temps, je suis pour le jeter

    Sur le 2nd, j'ai gravé des données importantes que j'avais sur mon disque dur externe en prenant bien soin de ne pas embarquer le fichier exe au passage. j'ai ensuite mis le dvd gravé dans le 2nd PC. j'ai récupéré mes données et le pc n'est pas infecté.

    voici maintenant le log hijackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 23:26:31, on 04/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Spyware Doctor\svcntaux.exe
    C:\Program Files\Spyware Doctor\swdsvc.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Spyware Doctor\SDTrayApp.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\pmyeboslu.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    D:\Documents and Settings\Angie\Bureau\hijackthis_199\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
    O4 - HKLM\..\Run: [Log System] C:\WINDOWS\system32\pmyeboslu.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - Startup: GrabIt.lnk = D:\Documents and Settings\Angie\Mes documents\Grabits\GrabIt.exe
    O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll (file missing)
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
    O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

    et merci de ta persévérance !!
    0
  7. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    je t'en prie, avec plaisir,

    est ce que ton fichier de M......., se nomme pmyeboslu.exe à présent ?

    @+
    0
  8. angiesphere
     
    Si çà peut t'aider...

    Mon disque dur externe, si je le branche sur mon PC (pour maintenant, il est infecté), et bien le nom du fichier exe change aussi et prend exactement le même nom que le fichier sur le c:/

    Chose que je viens de remarquer, le fichier exe est automatiquement accompagné d'un fichier "autorun.inf" dans lequel est écrit ::

    [AutoRun]
    open=ocskchrnk.exe
    shellexecute=ocskchrnk.exe
    shell\Auto\command=ocskchrnk.exe
    shell=Auto
    [VVflagRun]
    aabb=kdkfjdkfk1

    ocskchrnk.exe étant le nom du fichier exe
    0
  9. angiesphere
     
    pour répondre à ton post : est ce que ton fichier de M......., se nomme pmyeboslu.exe à présent ?

    Non çà c'est le nom du processus qui s'affiche dans mon gestionnaire de tâches.
    le nom du fichier exe sirtué dans le c:/ est : ocskchrnk.exe
    0
  10. angiesphere
     
    Dis moi, dis moi........

    Tout à l'heure, au redémarrage de mon PC, pour la dernière édition du rapport... Un fichier m'a mis en quarantaine pas mal de choses, dont le fichier inf, le fichier exe et les exe de system32 (il y en avait 2, les 2 noms qu'a pris successivement le processus dans le gestionnaire de tâche) et je n'avais plus le fameux processus ni le fichier exe.

    MAIS, en remettant mon dur externe, tout est revenu ! (en même temps, je n'avais pas fini la manip puisque pas encore redémarré en mode sans échec)

    Suis je condamnée à formater mon dur externe ? Sachant comme je te l'ai dit que j'arrive à graver mes données et à les mettre dans un autre PC sans l'infecter... puisque le fichier exe et le fichier inf se situent à la racine de chaque dur
    0
  11. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    dis moi, dernières tentatives,

    1/ démarrer, exécuter, tu tape msconfig, onglet démarrage, recherche dans C:\WINDOWS\system32\....... si tu vois quelque chose;

    2/ tu me dis que ton dd externe prends le fichier, chaque fois, mais change t'il de nom aussi ?

    0
  12. angiesphere
     
    com' d'hab, malheureusement, si je fais un msconfig, au niveau du démarrage, je vois dans system32 le processus que je vois aussi dans le gestionnaire de tâches.

    Pour mon disque dur externe, je t'explique....

    Je le branche et le fichier de mon c:/ est toto.exe alors dans mon dur externe, j'ai toto.exe

    Je redémarre ou encore m'obstine à supprimer le fichier exe du c:/ jusqu'à ce que le nom du fichier exe change. Une fois qu'il a changé. je rebranche mon dur externe. disons que le nouveau fichier s'appelle titi.exe

    Mon dur externe possède alors titi.exe avec le fichier autorun.inf à jour et possède encore toto.exe mais je peux le supprimer !!
    Chose que je ne peux pas faire avec le fameux titi.exe puisqu'il est présent dans le fichier autorun.inf
    0
  13. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    je sèche, angie, je suis désolé

    avant de formater tu devrais fermer ce post, et essayé d'en reposter un autre, avec un titre du genre VIRUS AUTORUN, c'est vraiment dommage de formater

    désolé encore

    @+
    0
  14. angiesphere
     
    Hello !

    Moi aussi je sèche mais en soi ce virus n'a pas l'air trop méchant, il crée juste un fichier exe et un autorun sur chaque dur (même amovible) et chaque partition.
    dans mon pc fixe, j'ai 2 partitions. chacune a les 2 fichiers, mis à jour en mêem temps :-|

    J'ai l'air de relativiser la chose mais on dira que c'est l'heure (et demain je bosse) et surtout le fait que j'ai gravé mes données très importantes en pouvant les regarder etc sur un autre pc sans l'infecter.

    ce virus crée un processus avec nom aléatoire qui, avec un pc puissant comme le mien ne le fait pas ramer mais ce processus monte vite en "puissance" et pourrait faire ramer un pc moins performant que le mien.

    ce que je vais faire... formater mon pc et demain je brancherai mon dur externe, si le virus revient, c'est que l'autorun et le fichier exe sont la source du problème. biensûr étant donné qu'il est impossible de les supprimer puisqu'ils reviennent tout le temps, je me dis que ces deux fichiers ne forment pas à eux tout seul la mécanique du virus.

    option 1, après formatage, je branche le dur externe et plus rien : j'ai donc viré l'origine du virus
    option 2 : après formatage, je branche le dur externe et le virus revient... les deux fichiers (impossible à virer et dont l'exe change facilement de nom) sont bien LE virus

    je sais que formater est la solution de dernière chance mais enore une fois j'avais trop de données en jeu alors maintenant qu'elles sont "saines et sauves" je préfère tout remettre "à neuf".

    En tout cas, je te remercie vraiment de ton aide et vais fermer ce post.

    Encore merci !!!!
    0
  15. moe
     
    Salut

    Non, ne reformates pas encore le DD, il y a moyen de s'en débarrasser je pense.

    Télécharge Flash_Disinfector de sUBs:
    http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

    Double clique sur Flash_Disinfector.exe pour le lancer.
    Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
    Connecte tes clés USB et périphériques USB externes susceptibles d'avoir été infectés.<- très important
    Puis clique sur Ok
    Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: Done!!
    Appuies sur OK, pour faire réapparaitre le bureau.

    Le ver se propage sur tout tes médias externes et partitions via les fichiers autorun.inf présent à la racine de chacun de tes DD/clés/partitions.
    Ce qui a pour effet de relancer systématiquement l'infection dès que tu cliques sur l'icône du DD ou média infecté, ou simplement en faisant un clic doit > ouvrir.
    Seul le Clic droit > Explorer ne relance pas l'infection si j'en juge la structure du fichier autorun.inf que tu as copié tout à l'heure.

    Le ver s'exécute alors et se réinscrit à nouveau sur tous les médias/partitions connectés à ce moment là en utilisant un nom généré aléatoirement.
    Donc, pendant que l'infection est active, si tu connectes un périf externe, il sera infecté dans la seconde.

    Possible aussi que ce ver infecte les fichiers *.rar, d'après ce que j'ai pu lire çà et là, donc si j'étais toi je resterais prudente concernant tes sauvegardes, surtout sans les avoir faites analyser avant...

    a+
    0
  16. angiesphere
     
    OK super !!
    Merci pour l'info ! Pour l'instant, je n'ai gravé que mes photos, donc aucun fichier .rar
    Je tente tout çà ce soir :-p

    Encore merci pour l'info !
    J'ai transféré ton message à mes frères, car mon autre frère a eu aussi son PC d'infecté en branchant son dur externe sur celui de mon frère qui avait le virus à l'origine... çà reste en famille les virus :-p (je préfère prendre çà à la rigolade mais j'ai bien été dans la M....)

    Maintenant que je sais qu'il ne se propage pas par gravue, je peux graver certains de mes fichiers :) Pas de .rar, pour çà je fais ta manip ce soir :) Pour être sure qu'il ne se propageait pas par gravue, j'ai gravé mes photos et les ai mise sur un PC de test, que j'ai ensuite branché au net, etc... Et voilà :)
    0
  17. moe
     
    Salut Angie

    De rien :-), mais j'ai pas encore pu tester cette infection pour être affirmatif concernant la gravure.
    Tout ce que je sais, c'est que le ver infecte les archives en *.rar et celles en *.zip aussi donc méfiance si tu as gravé autre chose que des photos...

    Sinon concernant Flash_Disinfector, il ne va pas supprimer l'infection, loin de là, mais cet outil spécialisé dans certains ver dont le type de propagation est exectement le même, à l'avantage de pouvoir bloquer l'execution automatique des médias infectés (donc de l'exécution du fichier autorun.inf + le fichier au nom aléatoire qui lui est associé) et donc de pouvoir consulter ses DD/partition sans que celà ne relance tout le processus de réinfection.
    Pour se faire, il agit à deux niveaux:
    Le registre, ou il désactive l'autorun (L'exécution automatique), en modifiant ces deux valeurs:
    [hkey_current_user\software\microsoft\windows\currentversion\policies\explorer]
    "NoDriveAutoRun"
    "NoDriveTypeAutoRun"


    Puis via une ruse qui consiste après avoir supprimé le fichier autorun.inf infectieux, à créer à la racine de chaques médias connectés à ce moment là, un dossier nommé autorun.inf.
    La présence de ce dossier, empêche en cas de réinfection qu'un fichier autorun.inf puisse être crée car Windows n'acceptant pas qu'un dossier et un fichier puissent avoir le même nom au même endroit.
    Donc, même dans le pire des cas, c'est à dire si l'exe au nom aléatoire été crée sur les médias connectés, il ne pourrait plus s'auto-exécuter et se propager faute d'avoir un fichier autorun.inf, indispensable pour cette action.

    D'après le dernier rapport Combofix, N:, L: et F: étaient aussi touchés, penses donc à connecter les médias correspondants avant le passage de Flash_disinfector, pour qu'il puisse leur bloquer l'exécution automatique.
    Une fois que tu auras passé Flash_disinfector, reposte un rapport HijackThis.

    A plus tard !
    0
  18. Dji2L
     
    Bonjour.
    J'ai eu le même probléme qu'Angie.
    Moi ce que j'ai fais... aprés avoir passé du temps sur de nombreux forum... :
    Redemarrer en mode sans echec (F8 au demmarage)
    msconfig dans demarrer/executer
    decocher les processus au demarrage (parce que moi il été pas seul)
    supprimer les autorun et .exe sur toutes les racines des partitions et DD externes
    redemarrer windows.

    Pour ma part, le virus ne lance plus d'autorun au demarrage.
    C'est fou ce que ca prennait en mémoire vive! lol

    Amicalement
    Dji2L
    0
  19. Dji2L
     
    Bonjour.
    J'ai eu le même probléme qu'Angie.
    Moi ce que j'ai fais... aprés avoir passé du temps sur de nombreux forum... :
    Redemarrer en mode sans echec (F8 au démarage)
    msconfig dans démarrer/executer
    decocher les processus au démarrage (parce que moi il été pas seul)
    supprimer les autorun et .exe sur toutes les racines des partitions et DD externes
    redemarrer windows.

    Pour ma part, le virus ne lance plus d'autorun au demarrage.
    C'est fou ce que ca prennait en mémoire vive! lol

    Amicalement
    Dji2L
    0
Précédent
  • 1
  • 2