Que des problemes depuis format

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Que des problemes depuis format

nazga

Bonjour a vous tous.

Je vous explique mon problème :

J'ai format mon disque dur depuis ce matin entierement, il est "vierge".

malheureusement le pire arriva... a peine connecté a internet, je me retrouve avec des saloperies plein le pc générant des processus visant a bouffer mon uc.

Le problème c'est que j'ai tellement de processus a la con que je ne sais absolument pas lequel est a l'origine de tout cela.

j'ai pourant tenté le scan par AVG. Les scan adaware / spybot en mode sans echec et un nettoyage des fichiers temporaires, cookies et des fichiers inutiles dans le registre pourtant rien n'y fait.

Le pire étant a chaque demarrage du pc IE s'ouvre automatiquement et se connecte a une adresse bidon "http://216.117.133.37/~dark/lc.html" qui a en rapport le processus lc.exe

a noter egalement la presence d'un processus "lsass2.exe" "webrebate1.exe" et "winadtools.exe"

J'ai quand meme fait un scan par hijackthis que voici :

Citation :

Logfile of HijackThis v1.98.2
Scan saved at 16:37:51, on 03/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svshost.exe
C:\WINDOWS\System32\ntvhost.exe
C:\WINDOWS\System32\elite.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\Sygate.exe
C:\WINDOWS\system\lsvchost.exe
C:\WINDOWS\System32\wuarclt.exe
C:\WINDOWS\System32\lsass2.exe
C:\WINDOWS\System32\secpol.exe
C:\Documents and Settings\nazga\Application Data\sbet.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
c:\temp\msbb.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\WINDOWS\System32\wvsvc.exe
C:\WINDOWS\System32\winservice32.exe
C:\Documents and Settings\nazga\Bureau\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/red [...] ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/red [...] r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/red [...] R}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/red [...] ar=msnhome
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Microsoft Windows Update] svshost.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\Run: [Software\\Microsoft\\Windows\\CurrentVersion\\Run] ntvhost.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] elite.exe
O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe
O4 - HKLM\..\Run: [*windows update] wuarclt.exe
O4 - HKLM\..\Run: [lsass service] lsass2.exe
O4 - HKLM\..\Run: [Windows Security Policy] secpol.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [inopuh] C:\WINDOWS\inopuh.exe
O4 - HKLM\..\Run: [wvsvc] wvsvc.exe
O4 - HKLM\..\Run: [Windows Service32] winservice32.exe
O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti16.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] rilmiu.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] elite.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svshost.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\RunServices: [Software\\Microsoft\\Windows\\CurrentVersion\\Run] ntvhost.exe
O4 - HKLM\..\RunServices: [*windows update] wuarclt.exe
O4 - HKLM\..\RunServices: [lsass service] lsass2.exe
O4 - HKLM\..\RunServices: [Windows Security Policy] secpol.exe
O4 - HKLM\..\RunServices: [wvsvc] wvsvc.exe
O4 - HKLM\..\RunServices: [Windows Service32] winservice32.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svshost.exe
O4 - HKLM\..\RunOnce: [Software\\Microsoft\\Windows\\CurrentVersion\\Run] ntvhost.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] elite.exe
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOCUME~1\nazga\LOCALS~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [Windows Compliant] rilmiu.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svshost.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Software\\Microsoft\\Windows\\CurrentVersion\\Run] ntvhost.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] elite.exe
O4 - HKCU\..\Run: [*windows update] wuarclt.exe
O4 - HKCU\..\Run: [Rsep] C:\Documents and Settings\nazga\Application Data\sbet.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svshost.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] elite.exe
O4 - HKCU\..\RunOnce: [Software\\Microsoft\\Windows\\CurrentVersion\\Run] ntvhost.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: SATARaid.lnk = ?
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

J'espere sincerement que vous pourrez m'aidez

Publicité

western-shadow

Pan !

tu es sérieusement infecté
formaté oui! mais on se connecte avec un firewall et tout de suite on update son système : Windows Update

C:\WINDOWS\System32\svshost.exe <-- Worm.P2P.Spybot.gen virus
http://www.liutilities.com/product [...] y/svshost/
C:\WINDOWS\system\lsvchost.exe
C:\WINDOWS\System32\wuarclt.exe <-- WORM_RBOT.AAG
http://uk.trendmicro-europe.com/en [...] M_RBOT.AAG
C:\WINDOWS\System32\lsass2.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\WINDOWS\System32\wvsvc.exe<--WORM_RBOT.QQ
http://www.trendmicro.com/vinfo/vi [...] RM_RBOT.QQ
C:\WINDOWS\System32\winservice32.exe

les lignes R1/R0 etc etc.. hijackées tu peux les fixer

les lignes 04 on retrouve les exe et autres véroles
mais tu devrais faire une analyse virale pour traiter tes virus, l'hijack va neutraliser mais pas erradiquer, c'est pas un outil antivirus

pas de parefeu? active le parefeu d'xp par défaut, met ton antivirus à jour et scanne ton ordi, la restauration système désactivée + en mode sans échec + en ayant accès à tous les dossiers système
affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> coche "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>> décoche la case "Masquer les fichiers protégés du système d'exploitation *

attend les avis des pros

Message édité par western-shadow le 03-11-2004 à 17:42:13

---------------
°*° Pan ! et Pan ! ça fait Pan-Pan ! °*°

nazga

j'ai aussi pris la peine de faire un scan online par ravantivirus.com dont voici le rapport

Scan started at 04/11/2004 05:48:18

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\nazga\Local Settings\Temp\THI3B9F.tmp\localNrd.cab->polall1l.exe - TrojanDownloader:Win32/Agent.AE -> Infected
C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected
C:\WINDOWS\system32\winservice32.exe->(UPXW) - Exploit:Win32/RpcDcom.gen! -> Infected

Scanned
============================
Objects: 12077
Directories: 889
Archives: 375
Size(Kb): 1638067
Infected files: 3

Found
============================
Viruses found: 3
Suspicious files: 0
Disinfected files: 0
Mail files: 31

si sa peut vous évitez de me le demander

Message édité par nazga le 04-11-2004 à 06:03:08

western-shadow

Pan !

re
C:\Documents and Settings\nazga\Local Settings\Temp\THI3B9F.tmp\localNrd.cab->polall1l.exe - TrojanDownloader:Win32/Agent.AE -> Infected
tu dois vider ton cache internet>options internet>supprimer les cookies et les fichiers Temp + vide ta corbeille (c'est un fichier archive/cab crée par ton antivirus et déjà isolé, faut faire du ménage un peu!) + 1 nettoyage de disque (programmes>accessoires>outils système - répond OK à TOUT)

C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected
C:\WINDOWS\system32\winservice32.exe Exploit:Win32/RpcDcom.gen! -> Infected

pour les 2 autres
1) assûre-toi d'avoir accès à tous les fichiers
affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> coche "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>> décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" *
2) passe en mode sans échec
recherche et supprime selon l'indication de l'antivirus
C:\WINDOWS>\system32>\ou >system etc../les exe (infected files) citées plus haut (avec les nettoyages de base au reboot!!)

met ton système à jour, ton antivirus à jour, ton firewall en action, refait un scan de contrôle + sers-toi des antitrojans, spys & Co pour dévéroler ton ordi (qui en a GRAND besoin)
+ refait un nouveau log hijack

---------------
°*° Pan ! et Pan ! ça fait Pan-Pan ! °*°

FORUM HardWare.fr

Windows & Software

Sécurité

Que des problemes depuis format

Sujets relatifs
Format *.lit	Problèmes : pop up, gator & co.... Que faire ?
3 problèmes sur nouvelle installation windows !	format de fichier inconnu "La page XML ne peut pas être affichée"
problemes affichage internet	Quel logiciel pour une video au format MKV ??
HELP: format + réinstalltion de Windows XP	ProblèmeS outlook réseau !!!!!!!
Problèmes installation xp pro en raid p-ata	Logiciel pour imprimer en grand format?
Plus de sujets relatifs à : Que des problemes depuis format

Page générée en 0.058 secondes