Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
2792 connectés 

  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  virus impossible a identifier

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

virus impossible a identifier

n°1785723
daddykille​r
Posté le 02-11-2004 à 22:03:35  profilanswer
 

bonjour a tous
 
j ai un pb avec un virus dont je ne toruve pas le nom :  
 
voici ce qui se passe lorsque je tape netstat dans msdos
 
http://perso.wanadoo.fr/daddykiller/IMGS/erreurdos.JPG
 
et ca défile sans arret...
 
rien de spécial dans les processus en route.
 
norton n a rien trouvé, l antivirus de securiser.com non plus.
 
je suis paumé et ce truc me fait ramer quand je veux surfer.
 
kkn aurait une idée ?

mood
Publicité
Posté le 02-11-2004 à 22:03:35  profilanswer
 

n°1785749
darxmurf
meow
Posté le 02-11-2004 à 22:12:51  profilanswer
 

colle ici un log de hijackthis et passe un coup d'antivirus online http://housecal.trendmicro.com


---------------
My makes - flickr - galerie HFR
n°1785754
CK Ze CaRi​BoO
Posté le 02-11-2004 à 22:15:03  profilanswer
 

avec un firewall type sygate tu pourrais peut être identifier l'appli qui est jointe localement, et éventuellement bloquer les ips qui te flood, en attendant de fixer la faille

n°1785756
daddykille​r
Posté le 02-11-2004 à 22:16:02  profilanswer
 

merci de vos conseils, je vais deja commencer par HIJACKTHIS :)
 
je vous tient au courant de suite

n°1785765
daddykille​r
Posté le 02-11-2004 à 22:19:43  profilanswer
 

Citation :

Logfile of HijackThis v1.98.2
Scan saved at 22:19:11, on 02/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
C:\WINDOWS\System32\logon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Yahoo!\Messenger\YPager.exe
G:\TELECHARGEMENTS\APPZ\Ocarina\Ocarina Script.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Norton AntiVirus\OPScan.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\daddy\LOCALS~1\Temp\Rar$EX00.969\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [BIOS XP Loader] lfrtjv.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\RunServices: [Windows Dialup Service] dialup.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [update run dos] logon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/ga [...] pote_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} - http://activex.microsoft.com/activ [...] mp2inf.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binar [...] _FR_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/229e9dd730d43 [...] 601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/5 [...] taller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 5196057906
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {83252F41-71B7-492E-8B2E-A68AA3E301E7} (Ulysse Class) - http://htmldialer.parisvoyeur.com/ [...] nelope.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f006.mail.caramail.lycos.fr [...] loader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/conten [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2ACA2038-668A-450D-BB70-C4328D2F3555}: NameServer = 80.10.246.130 80.10.246.3
 


 
 
c est le log

n°1785769
CK Ze CaRi​BoO
Posté le 02-11-2004 à 22:22:01  profilanswer
 

j'vois rien de suspect mais attendons l'avis des experts ?

n°1785773
CK Ze CaRi​BoO
Posté le 02-11-2004 à 22:22:26  profilanswer
 

question idiote mais aucun soft de téléchargement en route ? :D

n°1785778
daddykille​r
Posté le 02-11-2004 à 22:24:24  profilanswer
 

non aucun

n°1785781
Profil sup​primé
Posté le 02-11-2004 à 22:25:23  answer
 

ce log est pourri :)
 
passe le sur www.hijackthis.de et tu verras une bonne dizaine de truc a virer
 
notamment l'adresse IP de fin

n°1785783
darxmurf
meow
Posté le 02-11-2004 à 22:26:25  profilanswer
 

ho la boîte à merde ! c'est pour ça que j'aime norton :D t'es plein de saloperies mon gars !
 
regarde dans ma signature pour nettoyer tout ça ...
 

daddykiller a écrit :


 
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
C:\WINDOWS\System32\logon.exe
 
O4 - HKLM\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\RunServices: [BIOS XP Loader] lfrtjv.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\RunServices: [Windows Dialup Service] dialup.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [update run dos] logon.exe
 
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binar [...] _FR_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/229e9dd730d43 [...] 601_fr.cab
O16 - DPF: {83252F41-71B7-492E-8B2E-A68AA3E301E7} (Ulysse Class) - http://htmldialer.parisvoyeur.com/ [...] nelope.cab


---------------
My makes - flickr - galerie HFR
mood
Publicité
Posté le 02-11-2004 à 22:26:25  profilanswer
 

n°1785784
darxmurf
meow
Posté le 02-11-2004 à 22:26:53  profilanswer
 

CK Ze CaRiBoO a écrit :

j'vois rien de suspect mais attendons l'avis des experts ?


 
 [:tibo2002]


---------------
My makes - flickr - galerie HFR
n°1785788
darxmurf
meow
Posté le 02-11-2004 à 22:27:49  profilanswer
 

gargamail a écrit :

ce log est pourri :)
 
passe le sur www.hijackthis.de et tu verras une bonne dizaine de truc a virer
 
notamment l'adresse IP de fin


 
non pas l'IP de fin ce'st ses DNS  [:tibo2002]


---------------
My makes - flickr - galerie HFR
n°1785790
Profil sup​primé
Posté le 02-11-2004 à 22:28:18  answer
 

j'ai grillé Darxmurf [:moamoa]

n°1785791
Profil sup​primé
Posté le 02-11-2004 à 22:29:06  answer
 

Citation :

non pas l'IP de fin ce'st ses DNS  


 
une IP fixe dans la BDR ?  [:w3c compliant]

n°1785792
darxmurf
meow
Posté le 02-11-2004 à 22:29:30  profilanswer
 

oué mais tu dis des conneries [:moamoa] :D ouah l'autre ziav ! :D


---------------
My makes - flickr - galerie HFR
n°1785797
Profil sup​primé
Posté le 02-11-2004 à 22:31:15  answer
 

allo ?? ca coupe .. je passe sous un tunnel  :o

n°1785799
darxmurf
meow
Posté le 02-11-2004 à 22:32:44  profilanswer
 

roooooooooh :D
 
bon sans déc, il est où daddykiller ?
 
tain norton c'est vraiment une passware :(
 
EDIT : oui l'IP fixe c'est les serveurs DNS de son provider qui eux sont fixes... sans eux, il serait obligé de tapper http://216.239.57.99 pour aller sur google :D


Message édité par darxmurf le 02-11-2004 à 22:34:23

---------------
My makes - flickr - galerie HFR
n°1785802
daddykille​r
Posté le 02-11-2004 à 22:33:03  profilanswer
 

winadtools, ca vous dit quelque chose ?

n°1785803
darxmurf
meow
Posté le 02-11-2004 à 22:34:41  profilanswer
 

oui c'est de la merde désinstalle le depuis l'ajout de supression de programmes...
 


---------------
My makes - flickr - galerie HFR
n°1785804
daddykille​r
Posté le 02-11-2004 à 22:35:00  profilanswer
 

oki

n°1785805
darxmurf
meow
Posté le 02-11-2004 à 22:35:28  profilanswer
 

bon moi je vais me coucher...  
 
Dadykiller... suis ma signature pour le nettoyage ça devrait le faire :D et sinon je suis online demain à partir de 7h30 !


---------------
My makes - flickr - galerie HFR
n°1785811
daddykille​r
Posté le 02-11-2004 à 22:44:28  profilanswer
 

ca me dit d effacer logon.Exe,c est pas le logon de xp ca ?

n°1785816
nikolai
Posté le 02-11-2004 à 22:45:52  profilanswer
 

Tiens sa ressemble à ce qu'on a eu cette aprem au taf [:dawa]
c'est une variante de Sdbot:
 
pour info l'expertise a eu lieu cette aprem
 
Network Associates A.V.E.R.T.
Une Division des Laboratoires NAI
UK, Aylesbury
Notre référence : 151....
Analyste: L. C.
 
Virus Identifié:  W32/Sdbot.worm

 
 
la seule difference c'est nom du fichier a priori...
 
Par contre ils nous n'ont pas filer de fix, mais une maj du fichier de def virale ...
 
Pour calmer la bete on a desactivé l'exe qui se lancent au demarrage avec un bete msconfig :)
 
sinon essaye stinger, peut etre qu'il le trouve ? (enfin pas la variante de cette aprem)
 
http://vil.nai.com/vil/stinger/


Message édité par nikolai le 02-11-2004 à 22:46:54

---------------
Soutenez l'association Chat Qu'un Son Toit - 86 | les RoadRunners sur BOiNC
n°1785819
daddykille​r
Posté le 02-11-2004 à 22:48:10  profilanswer
 

apparement a²free a l air assez aisé a utliser, je vais l'essayer.

n°1785824
nikolai
Posté le 02-11-2004 à 22:52:14  profilanswer
 

A j'ai oublié de precisé.
l'exe se trouve dans windows/system32.
c'est un fichier caché  / systéme.
 
Pour voir l'exe qui est à l'origine de ces ouvertures de connexions tu peut utilisé fport dispo ici
http://www.foundstone.com/index.ht [...] ection.htm
 
il s'utilise en ligne de commande.
 
ensuite desactivé son lancement via msconfig ou la base de registre


Message édité par nikolai le 02-11-2004 à 22:52:25

---------------
Soutenez l'association Chat Qu'un Son Toit - 86 | les RoadRunners sur BOiNC
n°1785826
Profil sup​primé
Posté le 02-11-2004 à 22:55:21  answer
 

Citation :

ca me dit d effacer logon.Exe,c est pas le logon de xp ca ?


 
 
le vrai logon c'est C:\WINDOWS\system32\winlogon.exe
 
 

Citation :

Troj/Golon-A est un cheval de Troie de porte dérobée.  
Le cheval de Troie se copie dans le dossier système de Windows sous le nom de fichier logon.exe et configure dans la base de registre l'entrée suivante :  
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\logon.exe =
<Système Windows>\logon.exe  
Troj/Golon-A crée aussi plusieurs entrées


 
A virer suivant la page de Symantec


Message édité par Profil supprimé le 02-11-2004 à 22:59:21
n°1785868
daddykille​r
Posté le 02-11-2004 à 23:37:49  profilanswer
 

bon, a premiere vue, j ai stoppé le logon.exe dans les processus.  
 
j ai fait un netstat et il n y a plus de tentatives de connections .
 
donc, c est bien le logon.exe qui foutait le caca.
 
je l ai viré de la bse de registre et désactivé du msconfig.
 
merci a tous pour votre aide, elle m'a permi de virer le reste de saloperies qu il y avait dans mon pc.  
 
juste une petite note perso :  
 
Je tiens officiellement a remercier les investigateurs et les protagonistes de ce topic et de hfr en général. j'ai eu en informatique pas mal de déboires et c'est toujours (  a 99% des cas ) ici que j ai eu la solutiona mon pb.
 
pour cela, j tiens a remercier les gens de hfr et les "hache et fait rien."
 
nerdz attitude.
 
merci encore a tous !
 
je reviendrais si au rebbooot ca recommence ^^  
 
voilou ;)
 
sinon, bonne nuitée :)  
 

n°1785900
daddykille​r
Posté le 03-11-2004 à 00:24:41  profilanswer
 

bon ben je reviens... logon.exe revient a chaque reboot, pourtant j ai viré la clé dans le registre et dans msconfig. :(

n°1785903
Profil sup​primé
Posté le 03-11-2004 à 00:26:03  answer
 

l'a tu fait en mode sans echec ( la suppression du fichier logon.exe )???


Message édité par Profil supprimé le 03-11-2004 à 00:26:39
n°1785906
daddykille​r
Posté le 03-11-2004 à 00:29:25  profilanswer
 

je viens de le faire au moment ou je te parle
 
je reboot.

n°1786048
darxmurf
meow
Posté le 03-11-2004 à 09:45:48  profilanswer
 

hi hi salut les moules :D alors ça avance pas ?
 
daddykiller, tue tous les processus possible et va faire un scann online sur le site de trendmicro... (si t'as pas de firewall, active au moins celui de XP sinon ça revient tout seul !)

n°1786733
daddykille​r
Posté le 03-11-2004 à 16:36:42  profilanswer
 

c fait, en fait c etait longon.exe qui foutait le caca :)
 
maintenant, tout va comme sur des roulettes, merci encore !

n°1786863
darxmurf
meow
Posté le 03-11-2004 à 17:58:11  profilanswer
 

hi hi et tu veux un conseil ? change d'antivirus :D


---------------
My makes - flickr - galerie HFR
n°1786872
minipouss
un mini mini
Posté le 03-11-2004 à 18:02:50  profilanswer
 

Darxmurf tu fais chier avec ça :o
 
:hello: quand même :D


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1787392
darxmurf
meow
Posté le 04-11-2004 à 00:21:53  profilanswer
 

minipouss a écrit :

Darxmurf tu fais chier avec ça :o
 
:hello: quand même :D


 
oui mais bon ... avec toutes les machines qu'on aide, y en a quand même pas mal qui tournent avec norton ...  :sweat:  
 
 
bizoux sur le nez :hello:


---------------
My makes - flickr - galerie HFR
n°1787442
didleur
Posté le 04-11-2004 à 02:40:15  profilanswer
 

Salut,
 
T'aurais pas un soft peer-to-peer genre eMule qui tourne ???
 :pt1cable:  
 
Avec eMule, t'as un max de connexions qui se créent, donc ca me semble normal.
 
Did

n°1787492
darxmurf
meow
Posté le 04-11-2004 à 08:44:51  profilanswer
 

didleur a écrit :

Salut,
 
T'aurais pas un soft peer-to-peer genre eMule qui tourne ???
 :pt1cable:  
 
Avec eMule, t'as un max de connexions qui se créent, donc ca me semble normal.
 
Did


 
  [:benou_grilled]  :heink: le monsieur avait plein de virus tout marche maintenant ...

n°1788313
daddykille​r
Posté le 04-11-2004 à 17:42:07  profilanswer
 

didleur a écrit :

Salut,
 
T'aurais pas un soft peer-to-peer genre eMule qui tourne ???
 :pt1cable:  
 
Avec eMule, t'as un max de connexions qui se créent, donc ca me semble normal.
 
Did


 
 
ca m'est arrivé d'en utiliser, mais en ce moment aucune utilisation :)  
 
et oui tout remarche !!!
 
par contre, qu est ce que ca rame avec cet antivirus... :(

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  virus impossible a identifier

 

Sujets relatifs
Virus ? spyware? je ne sais plus...Impossible de me connecter en mode sécurisé !
aspi472 installation impossible sous win xp_sp1VIRUS : Plus d'internet
Impossible de copier le fichier oembios.bin????[resolu] identifier mon sagem
[VIRUS] Lsass.exe impossible à retirer !Probleme connexion auto internet impossible.
Recherche un bon Anti-Virus + FireWall gratuit 
Plus de sujets relatifs à : virus impossible a identifier


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR