Votre question

[Résolu] Zapchast (et eraseme) [Log Hijackthis]

Tags :
  • Hijackthis
  • Sécurité
Dernière réponse : dans Sécurité et virus
16 Novembre 2006 19:55:19

Salut les pros,

J'ai besoin de vos compétences pour désinfecter le PC de mon frère (Windows 2000 Pro).

Comme je n'ai pas le PC sous la main, l'assistance à distance n'est pas efficace (surtout par téléphone.. ça coûte cher sur un portable :??: ) . Mais comme j'y vais demain j'aimerais pouvoir le dépanner rapidement (c'est son anniversaire donc je n'aimerais pas passer la soirée à chercher une solution...).

Alors voilà ce qui se passe :

Après avoir fait un nettoyage du PC (scan complet avec Kaspersky, Ewido, Ccleaner, Spybot, et je crois que c'est tout) qui s'est avéré être propre, il a redémarré. Là, Kaspersky s'est affolé sur un fichier nommé sirhOt-changes-ur-hostfile.bat (à la racine de C:\) qui était infecté par trojan.BAT.zapchast. Kaspersky a bien voulu le nettoyer mais a demandé un redémarrage. Malheureusement, le fichier revenait sans cesse. Je lui ai alors conseillé de le virer en mode sans échec. Il semble que ce soit bon mais ce n'est vraiment pas sûr.

Je lui ai fait faire un log Hijackthis, en espérant que ça vous aide.

Logfile of HijackThis v1.99.1
Scan saved at 19:39:12, on 16/11/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\hkcmd.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\MSN Messenger\MSN Plus !3\MsgPlus.exe
C:\WINNT\system32\udzou.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\PopTray\PopTray.exe
C:\Program Files\TribalWeb.net\tribalweb.exe
C:\Documents and Settings\Gregory\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MSN Messenger\MSN Plus !3\MsgPlus.exe"
O4 - HKLM\..\Run: [udzok] udzou.exe
O4 - HKLM\..\RunServices: [udzok] udzou.exe
O4 - HKCU\..\Run: [udzok] udzou.exe
O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
O4 - Startup: TribalWeb.net.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir le fichier PDF dans Word - res://C:\Program Files\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /300
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: 04302 - Unknown owner - \\88.162.118.36\Admin$\eraseme_11027.exe (file missing)
O23 - Service: 20341 - Unknown owner - \\88.162.118.36\Admin$\eraseme_84746.exe (file missing)
O23 - Service: 21138 - Unknown owner - \\88.162.118.36\Admin$\eraseme_43040.exe (file missing)
O23 - Service: 28543 - Unknown owner - \\88.162.118.36\Admin$\eraseme_83744.exe (file missing)
O23 - Service: 31813 - Unknown owner - \\88.162.118.36\Admin$\eraseme_52182.exe (file missing)
O23 - Service: 32434 - Unknown owner - \\88.162.118.36\Admin$\eraseme_30052.exe (file missing)
O23 - Service: 48424 - Unknown owner - \\88.162.118.36\Admin$\eraseme_68557.exe (file missing)
O23 - Service: 51304 - Unknown owner - \\88.162.118.36\Admin$\eraseme_14778.exe (file missing)
O23 - Service: 61173 - Unknown owner - \\88.162.118.36\Admin$\eraseme_71742.exe (file missing)
O23 - Service: 64227 - Unknown owner - \\88.162.118.36\Admin$\eraseme_24334.exe (file missing)
O23 - Service: 77104 - Unknown owner - \\88.162.118.36\Admin$\eraseme_54055.exe (file missing)
O23 - Service: 78052 - Unknown owner - \\88.162.118.36\Admin$\eraseme_84782.exe (file missing)
O23 - Service: 85174 - Unknown owner - \\88.162.118.36\Admin$\eraseme_16740.exe (file missing)
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe



Il y a quelques semaines, il avait aussi un problème avec eraseme mais je ne sais pas si c'est réglé ou pas... pas eu le temps de lui demander.

Merci d'avance à celui qui pourra m'aider.

PS : Premier topic crée (hors section privée) après 5812 posts !

Autres pages sur : resolu zapchast eraseme log hijackthis

a b 8 Sécurité
16 Novembre 2006 20:22:15

Bonsoir,

C'est le deuxième modo qui passe par là ;) 

Première fois que je vois des services comme ça.

Citation :
O23 - Service: 04302 - Unknown owner - \\88.162.118.36\Admin$\eraseme_11027.exe (file missing)
O23 - Service: 20341 - Unknown owner - \\88.162.118.36\Admin$\eraseme_84746.exe (file missing)
O23 - Service: 21138 - Unknown owner - \\88.162.118.36\Admin$\eraseme_43040.exe (file missing)
O23 - Service: 28543 - Unknown owner - \\88.162.118.36\Admin$\eraseme_83744.exe (file missing)
O23 - Service: 31813 - Unknown owner - \\88.162.118.36\Admin$\eraseme_52182.exe (file missing)
O23 - Service: 32434 - Unknown owner - \\88.162.118.36\Admin$\eraseme_30052.exe (file missing)
O23 - Service: 48424 - Unknown owner - \\88.162.118.36\Admin$\eraseme_68557.exe (file missing)
O23 - Service: 51304 - Unknown owner - \\88.162.118.36\Admin$\eraseme_14778.exe (file missing)
O23 - Service: 61173 - Unknown owner - \\88.162.118.36\Admin$\eraseme_71742.exe (file missing)
O23 - Service: 64227 - Unknown owner - \\88.162.118.36\Admin$\eraseme_24334.exe (file missing)
O23 - Service: 77104 - Unknown owner - \\88.162.118.36\Admin$\eraseme_54055.exe (file missing)
O23 - Service: 78052 - Unknown owner - \\88.162.118.36\Admin$\eraseme_84782.exe (file missing)
O23 - Service: 85174 - Unknown owner - \\88.162.118.36\Admin$\eraseme_16740.exe (file missing)


Je vais voir ça avec d'autres helpers.
16 Novembre 2006 20:25:53

Et oui, après Xtelle, c'est moi ! D'habitude, je me débrouille tout seul mais là, j'ai lu que Zapchast avait un niveau de risque élevé et comme je n'aurais pas trop de temps demain pour faire les manip', je préfère avoir les avis de pros.

Merci AngelDark pour ton aide, c'est sympa !
Contenus similaires
a b 8 Sécurité
16 Novembre 2006 20:28:51

Citation :
O4 - HKLM\..\Run: [udzok] udzou.exe
O4 - HKLM\..\RunServices: [udzok] udzou.exe
O4 - HKCU\..\Run: [udzok] udzou.exe

Ca par contre ca sera à virer ;) 
16 Novembre 2006 20:30:39

Directement avec Hijackthis ou msconfig (enfin comme il n'y a pas ça sur 2000, j'utilise les options de Ccleaner...) ?
a b 8 Sécurité
16 Novembre 2006 20:31:20

Je te dirai quoi faire quand j'aurai la réponse sur les 023.
16 Novembre 2006 20:32:08

Ok merci beaucoup. [:florom94:10]
a b 8 Sécurité
16 Novembre 2006 22:23:40

Malheureusement, après confirmation, on ne peut rien faire.
La solution est le format c:.

Plusieurs conseils s'il ne veut pas se faire ré-infecter :

1/ Mettre sur CD/USB... un firewall et antivirus !
2/ Formater
3/ COUPER LE CONNECTION A INTERNET !
4/ Installer antivirus+firewall
5/ Mettre à jour les logiciels+Windows !

La personne me l'ayant indiqué est de confiance.
Vraiment désolé.


16 Novembre 2006 23:55:19

Angeldark, tu sais que c'est une super mauvaise nouvelle que tu me donnes là ??? Je suis au bord du désespoir...

Quelques questions histoires de faire ça au mieux :

- Av et pare-feu sur clé USB : je dois me trouver des versions portables ou juste les .exe pour installer ?? Quelles versions me conseilles-tu (gratuit ou payant, ça me va) ?

- AV encore : avant de connecter pour faire les MAJ, est-il possible de télécharger les MAJ de chez moi pour lui mettre chez lui ? je sais que Kaspersky le fait mais c'est au cas où tu me conseillerais autre chose.

- AV encore : je lui avais installé KIS. Est-ce bon ou est-il préférable de mettre KAV et KAH ? ou KAV et un autre pare-feu ?

- Qu'est ce qui fait que le formatage est obligatoire ? eraseme ou zapchast ? pourquoi ? Désolé pour ces questions mais j'aurais droit à la question demain donc je préfère savoir quoi répondre...

-Le fait de mettre la freebox en mode routeur peut-il apporter un truc en plus niveau sécurité ?

Et puis ben c'est parti pour un formatage... j'en connais un qui va gueuler :D  !

Merci Angeldark pour cette aide et remercie aussi ton contact pour les précisions. C'est vraiment appréciable d'avoir une aide spontanée et efficace.
a b 8 Sécurité
17 Novembre 2006 17:50:52

Re,

Citation :
Angeldark, tu sais que c'est une super mauvaise nouvelle que tu me donnes là ??? Je suis au bord du désespoir...

Vraiment désolé :( 

Citation :
- AV encore : je lui avais installé KIS. Est-ce bon ou est-il préférable de mettre KAV et KAH ? ou KAV et un autre pare-feu ?

KIS suffit puisqu'il fait AV + firewall.
Juste l'.exe ou le CD d'install.
Pour les MAJ, fait les via KIS ;) 

Citation :
-Le fait de mettre la freebox en mode routeur peut-il apporter un truc en plus niveau sécurité ?

Oui. Mais si tu as KIS c'est bon.

Je suis toujours là pour d'autres questions.
17 Novembre 2006 17:54:21

Ok, je te remercie sincèrement pour tes réponses. D'autres questions viendront sûrement par la suite.
a b 8 Sécurité
17 Novembre 2006 18:15:17

Pas de problème.
23 Novembre 2006 21:49:41

Une petite remontée de topic pour dire qu'après formatage et réinstallation tout est bon. Scan KAV et ewido clean !

Encore merci Angeldark !
14 Décembre 2006 19:12:17

Salut,

Mauvaises nouvelles Angeldark.....

Eraseme est de retour... Fais chier !

Je viens de lui faire faire un log Hijackthis que voilà :

Logfile of HijackThis v1.99.1
Scan saved at 18:43:21, on 14/12/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\MSN Messenger\Msg Plus 3\MsgPlus.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\PopTray\PopTray.exe
C:\Documents and Settings\Gregory\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MSN Messenger\Msg Plus 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir le fichier PDF dans Word - res://C:\Program Files\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /300
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: 60604 - Unknown owner - \\88.162.118.36\Admin$\eraseme_52457.exe (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe


Et en ce moment même, un scan online sur le site de panda est en cours....

Voilà, dis moi que ce coup-ci, son PC a une chance de survie....


Si tu veux d'autres infos, je peux aller voir directement sur son Pc pour voir (VNC ;) ).

Merci d'avance.
a b 8 Sécurité
14 Décembre 2006 19:16:16

Bonsoir,

Ca va être compliqué.
Encore ce sevice :( 
O23 - Service: 60604 - Unknown owner - \\88.162.118.36\Admin$\eraseme_52457.exe (file missing)

Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
Clique sur le premier " Download " afin de télécharger le programme
Sauvegarde le sur ton Bureau
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next.

A la fin du scan, NE TOUCHE A RIEN !

Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Nous devons analyser ce rapport, ferme donc le BlackLight.

Poste le rapport sur le forum.

AIDE : Tuto sur BlackLight (Malekal)
14 Décembre 2006 19:38:20

Je crois que le rapport ne va pas être très utile....

12/14/06 19:25:38 [Info]: BlackLight Engine 1.0.47 initialized
12/14/06 19:25:38 [Info]: OS: 5.0 build 2195 (Service Pack 4)
12/14/06 19:25:39 [Note]: 7019 4
12/14/06 19:25:39 [Note]: 7005 0
12/14/06 19:33:14 [Note]: 7006 0
12/14/06 19:33:14 [Note]: 7011 1056
12/14/06 19:33:15 [Note]: 7026 0
12/14/06 19:33:15 [Note]: 7026 0
12/14/06 19:33:56 [Note]: FSRAW library version 1.7.1020


EDIT : sur le log hijackthis, le fait qu'il y ait File Missing après la ligne 023 problématique n'est pas une bonne nouvelle ?
a b 8 Sécurité
14 Décembre 2006 20:06:39

Citation :
EDIT : sur le log hijackthis, le fait qu'il y ait File Missing après la ligne 023 problématique n'est pas une bonne nouvelle ?

Malheureusement non.
Le fichier peut être présent.
Je vais redemander à des experts anglos voir ce qu'ils pensent.
14 Décembre 2006 21:18:18

Après un premier scan, il y avait juste Acrobat Reader qui n'était pas à jour. Je l'ai donc désinstallé et installé la toute dernière version (en anglais).
Après un second scan, tout est à jour.

N'empêche que grâce à moi, tu apprends des nouveaux trucs... :D 
a b 8 Sécurité
14 Décembre 2006 21:28:26

Citation :
N'empêche que grâce à moi, tu apprends des nouveaux trucs... :D 

Malheuresement oui.
Je pense qu'il va falloir préparer le cd de Windows ?

Ca fait combien de temps qu'il s'est fait infecté ?
14 Décembre 2006 21:32:37

Hier soir vers 21h40 (heure à laquelle KAV l'a détecté). Il y a eu deux versions dont une Eraseme_62875.exe.

Mais c'est quand même étrange qu'un virus "rare" (puisque tu ne connais pas, je le classe dans les virus rares) l'infecte deux fois de suite (après un formatage - et même plusieurs car j'ai installé Linux entre tps dessus et plusieurs fois Win2000 car pb de drivers) ??? C'est pas normal du tout ça, si ?

PS : il a récupérer son PC le 09 décembre et infecté le 13....

Il a aussi des pb de connections. Par moment, connection impossible, téléphone HS, ainsi que la TV. Je dois désactivé le routeur pour qu'il se reconnecte. Je peux ensuite remettre le routeur et ça marche (pendant un temps).

PPS : encore merci pour le temps que tu y passes.
a b 8 Sécurité
14 Décembre 2006 21:39:42

Ce virus est connu.
Mais difficile à supprimer...surtout avec ces lignes 023 :( 
[les lignes 023 ne sont pas insupprimables, un coup avec services.msc mais tes services sont très...curieux]

J'ai posté sur un espace regroupant beaucoup d'helpers qualifiés.
Un autre cas vient d'être détecté :
http://forums.futura-sciences.com/thread114687.html

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Redémarre en mode sans échec

  • Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.
    14 Décembre 2006 22:00:54

    Voici Report.txt de SDFix :


    SDFix: Version 1.47
    ****************

    jeu. 14/12/2006 - 21:53:40,48

    Microsoft Windows 2000 [Version 5.00.2195]

    Running From: C:\SDFix

    Stage One - Safe Mode

    Checking For Trojan Services...

    Service Name:


    File Path:



    Starting Registry Repairs...

    Restoring Default Hosts File...

    Stage One Complete

    Rebooting...

    Stage Two - Normal Mode

    Checking For Malware:
    --------------------


    Backing Up and Removing any Files Found...

    Final Check:

    Services:
    ---------


    Files:
    ------

    Backups Folder: - C:\SDFix\backups\backups.zip

    Checking for files with Hidden Attributes:

    C:\arcldr.exe
    C:\arcsetup.exe
    C:\Program Files\Picasa2\setup.exe
    C:\WINNT\eraseme_62875.exe
    C:\CONFIG.SYS
    C:\IO.SYS
    C:\MSDOS.SYS
    C:\pagefile.sys

    FINISHED!


    Et voici Hijackthis :


    Logfile of HijackThis v1.99.1
    Scan saved at 22:01:21, on 14/12/2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\ewido\security suite\ewidoctrl.exe
    C:\WINNT\system32\oodag.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Program Files\MSN Messenger\Msg Plus 3\MsgPlus.exe
    C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
    C:\Program Files\PopTray\PopTray.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Documents and Settings\Gregory\Bureau\Hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MSN Messenger\Msg Plus 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Ouvrir le fichier PDF dans Word - res://C:\Program Files\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /300
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
    O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
    O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
    O23 - Service: 60604 - Unknown owner - \\88.162.118.36\Admin$\eraseme_52457.exe (file missing)
    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
    a b 8 Sécurité
    14 Décembre 2006 22:04:04

    Nothing.
    J'attends la réponse des autres.
    14 Décembre 2006 22:06:18

    Tu peux déjà les remercier de ma part et de la part de mon frère. :jap: 
    a b 8 Sécurité
    14 Décembre 2006 22:07:29

    Ok ;) 
    14 Décembre 2006 22:09:22

    Juste pour information, au lieu de poster tout le log HijackThis : site officiel pour analyser le log, tout en francais

    Pour supprimer les applis malicieuses lance une invite de commande (touche Windows + R , tape cmd ) ensuite ouvre le gestionnaire de taches et vire explorer.exe et tout ce que tu peux ou presque.
    Dans l'invite de commande déplace toi et supprime les fichiers !

    Sinon HijackThis après un boot garde la main sans lancer toutes les applis et services windows je crois, la au lieu de faire ok fait ctrl+alt+supr puis lancer une application : cmd et fait pareil (sauf que la ton système est tres leger donc fait gaff, tu peux presque tout virer !)

    Voila, j'espere que ca peut t'etre utile (à toi ou à d'autres, ce sont des astuces pour ce démerder en cas de gros pb)
    14 Décembre 2006 22:13:26

    Le problème RedTux, c'est que le site officiel n'est pas fiable. il me considère la ligne 023 d'Eraseme comme Légitime...

    Pour le reste, je connais, bien sûr, mais là, le problème est bien plus coriace qu'un simple effacement de fichier...
    14 Décembre 2006 22:22:57

    Toutes mes excuses dans ce cas, j'ai pas pris la peine d'étudier les logs, donc j'ai répondu surement trop vite ...

    Mais il est possible d'informer le site des erreures par contre, je sais pas ce que ca vaut mais bon.

    En tout cas j'espère que tous tes problèmes ont été réglé !

    Sinon passe le sous linux LOOOOL (désolé ... déformation professionnel)
    14 Décembre 2006 22:27:12

    Informer le site, je veux bien mais je ne sais même pas de quoi (sauf que le service n'est pas légitime).

    Citation :
    En tout cas j'espère que tous tes problèmes ont été réglé !


    C'est en cours de résolution. Angeldark s'en occupe (et ses contacts).

    Citation :
    Sinon passe le sous linux LOOOOL (désolé ... déformation professionnel)


    Geek :D  !
    a b 8 Sécurité
    14 Décembre 2006 22:31:41

    Re,

    La personne la plus apte à répondre habite au Québec.
    La réponse sera surement pour demain.
    J'essayerai de te donner une réponse à 12h30, si je peux pas je reviens vers 17h30 ;) 
    14 Décembre 2006 22:33:06

    Pas de problème. De toute façon, mon frère bosse demain donc les éventuelles manip' ne pourront se faire qu'à partir de 18h30.

    Encore merci.
    16 Décembre 2006 09:40:41

    En attendant une réponse du Québécois, pourrais-tu m'expliquer à quoi correspond l'adresse de la ligne 023 ? (O23 - Service: 60604 - Unknown owner - \\88.162.118.36\Admin$\eraseme_52457.exe (file missing) )

    Car je vois que toutes les autres lignes ont des adresses vers des endroits précis du système (Program Files, WINNT, etc), mais celui là, c'est une adresse IP... donc je ne comprend pas trop (voire pas du tout).

    Merci de m'éclairer.
    16 Décembre 2006 12:15:10

    Oui c'est bien son IP : Free en dégroupé total avec la Freebox HD.

    C'est sa Freebox qui est pourrie ou quoi ?
    a b 8 Sécurité
    16 Décembre 2006 12:26:07

    Je pense pas.
    On utilise sa Freebox plutôt.

    Il visite quoi comme site ?

    Dans tous les cas il faudra configurer sa Freebox ou installer un firewall.
    16 Décembre 2006 12:30:23

    Navigation normale...

    On utilise sa Freebox plutôt : C'est à dire ?

    Configurer la Freebox ? : ok mais comment ? si c'est la mettre en routeur, pas de problème, mais il y a un problème parce que cela fait déjà 3 fois que toute connection est impossible (internet, TV, téléphone). Je dois repasser la freebox en mode normal pour que ça refonctionne... Ensuite, une fois en mode routeur, ça marche mais un temps seulement...

    Pour le Firewall : il y en as déjà un : Kaspersky Anti-Hacker. Doit-il en changer ? Si oui, lequel doit-il mettre ?
    a b 8 Sécurité
    16 Décembre 2006 12:50:18

    Re,

    Ton infection installe un rootkit qui manipule le kernel directement - Direct Kernel Object Manipulation.
    Après j'ai pas tout compris sur ce qu'il fait :) 

    J'aime pas trop Anti-Hacker, je préfère Kerio :
    http://www.malekal.com/kerio_firewall.php

    16 Décembre 2006 12:55:17

    Angeldark a dit :
    Ton infection installe un rootkit qui manipule le kernel directement - Direct Kernel Object Manipulation.
    Après j'ai pas tout compris sur ce qu'il fait :) 


    Merde, c'est pas bon du tout ça... Le Kernel, c'est bien le noyau de windows (enfin pas le noyau noyau mais un des centres quoi) ?

    Pour le moment, KAV n'a rien signaler de neuf (avant, c'était une alerte toutes les 30 minutes en gros avec plein de version d'Eraseme..).

    Mais qu'est ce qui cloche sur son PC pour qu'il se chope la même merde bizarre deux fois de suite ???

    Edit : je vais lui installer Kerio à la place de KAH alors...
    a b 8 Sécurité
    16 Décembre 2006 12:59:42

    Re ,

    Citation :
    Le Kernel, c'est bien le noyau de windows (enfin pas le noyau noyau mais un des centres quoi) ?

    C'est bien ça.
    http://fr.wikipedia.org/wiki/Kernel

    Citation :
    Mais qu'est ce qui cloche sur son PC pour qu'il se chope la même merde bizarre deux fois de suite ???

    C'est une vrai version, son CD de Windows ?
    16 Décembre 2006 13:04:52

    Angeldark a dit :
    Citation :
    Mais qu'est ce qui cloche sur son PC pour qu'il se chope la même merde bizarre deux fois de suite ???

    C'est une vrai version, son CD de Windows ?


    Pas exactement. C'est une copie mais non modifiée de Windows 2000 Pro.

    Je précise que c'est Win2000 qui est installé et non XP car il utilise un logiciel (Winglyph) qui ne fonctionne que sous 2000 et inférieur. Même avec la compatibilité des programmes de Win XP, ça ne fonctionne pas (et ce n'est pas faute d'avoir essayé).
    a b 8 Sécurité
    16 Décembre 2006 13:07:58

    On a peut être un élément de réponse.
    Non modifiée ou non, un infection peut s'être glissée dedans.

    C'est lui qui a fait le CD ?
    16 Décembre 2006 13:09:55

    Non, c'est une copie de copie (ouais, je sais, c'est mal !!)... Le CD a déjà quelques années... J'ai le CD sous la main si il y a besoin de vérifier quelque chose dessus ....
    a b 8 Sécurité
    16 Décembre 2006 13:13:03

    Je ne pense pas qu'on puisse vérifier le CD.
    Le CD semble être la cause des infections.
    16 Décembre 2006 13:16:46

    Et si je comprends bien, il n'y a pas moyen désinfecter le PC ??

    Je veux bien que le CD (enfin la copie) pose problème mais la "faille" n'aurait-elle pas du être corrigé par Windows Update ?
    a b 8 Sécurité
    16 Décembre 2006 13:21:06

    Je ne pense pas que cela soit une faille, plutôt un infection injectée lors de l'installation.
    Mais là, je suppose.

    Citation :
    Et si je comprends bien, il n'y a pas moyen désinfecter le PC ??

    J'ai beaucoup de doute...
    Wait & See.

    Citation :
    mais la "faille" n'aurait-elle pas du être corrigé par Windows Update ?

    :lol:  Elle est bonne celle-là !
    Microsoft a déjà du mal avec des petites choses sur son navigateur, image sur les rootkits.

    16 Décembre 2006 13:24:46

    Angeldark a dit :
    Citation :
    mais la "faille" n'aurait-elle pas du être corrigé par Windows Update ?

    :lol:  Elle est bonne celle-là !
    Microsoft a déjà du mal avec des petites choses sur son navigateur, image sur les rootkits.


    Ouais, j'ai écris plus vite que je n'ai réfléchis....

    Sinon, ben, wait & see alors.. Pour le moment, KAV reste muet donc ça va mais bon....

    Quels sont les risques de laisser ça comme ça pour le moment ? Niveau sécurité (login, mdp, etc).
    a b 8 Sécurité
    16 Décembre 2006 13:28:22

    Pour les conséquences il faut attendre une réponse d'un expert là dessus.

    C'est un peu comme un volcan endormi...
    16 Décembre 2006 13:30:06

    Angeldark a dit :
    Pour les conséquences il faut attendre une réponse d'un expert là dessus.

    C'est un peu comme un volcan endormi...


    Tu sais que tu es super rassurant comme mec toi ?? :whistle: 

    Bon dans tous les cas, au prochain formatage, je lui mets XP Pro ! (en plus Windows 2000 c'est moche)

    PS : tu crois qu'il serait possible de tester le CD ? Je veux dire en installant cette version de 2000 Pro sur un autre PC et en le laissant tourner. Ou c'est trop aléatoire pour avoir un résultat convaincant ?
    a b 8 Sécurité
    16 Décembre 2006 13:35:50

    Citation :
    Tu sais que tu es super rassurant comme mec toi ?? :whistle: 

    Au moins j dis la vérité avec de belles métaphores ;) 

    Citation :
    Bon dans tous les cas, au prochain formatage, je lui mets XP Pro ! (en plus Windows 2000 c'est moche)

    Une version qu'il aura acheté j'espère :) 

    Lors d'un format, c'est là où on a plus de "chances" de ce faire infecter.

    1/ Préparer un cd avec AV + Firewall
    2/ Formater
    3/ COUPER INTERNET !
    4/ Installe les programmes
    5/ Remettre internet
    6/ Mettre à jour Windows et les logiciels de protection.
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS