virus impossible a identifier

virus impossible a identifier - Win NT/2K/XP - Windows & Software

Marsh Posté le 02-11-2004 à 22:03:35    

bonjour a tous
 
j ai un pb avec un virus dont je ne toruve pas le nom :  
 
voici ce qui se passe lorsque je tape netstat dans msdos
 
http://perso.wanadoo.fr/daddykiller/IMGS/erreurdos.JPG
 
et ca défile sans arret...
 
rien de spécial dans les processus en route.
 
norton n a rien trouvé, l antivirus de securiser.com non plus.
 
je suis paumé et ce truc me fait ramer quand je veux surfer.
 
kkn aurait une idée ?

Reply

Marsh Posté le 02-11-2004 à 22:03:35   

Reply

Marsh Posté le 02-11-2004 à 22:12:51    

colle ici un log de hijackthis et passe un coup d'antivirus online http://housecal.trendmicro.com


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 02-11-2004 à 22:15:03    

avec un firewall type sygate tu pourrais peut être identifier l'appli qui est jointe localement, et éventuellement bloquer les ips qui te flood, en attendant de fixer la faille

Reply

Marsh Posté le 02-11-2004 à 22:16:02    

merci de vos conseils, je vais deja commencer par HIJACKTHIS :)
 
je vous tient au courant de suite

Reply

Marsh Posté le 02-11-2004 à 22:19:43    

Citation :

Logfile of HijackThis v1.98.2
Scan saved at 22:19:11, on 02/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
C:\WINDOWS\System32\logon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Yahoo!\Messenger\YPager.exe
G:\TELECHARGEMENTS\APPZ\Ocarina\Ocarina Script.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Norton AntiVirus\OPScan.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\daddy\LOCALS~1\Temp\Rar$EX00.969\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [BIOS XP Loader] lfrtjv.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\RunServices: [Windows Dialup Service] dialup.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [update run dos] logon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/ga [...] pote_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} - http://activex.microsoft.com/activ [...] mp2inf.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binar [...] _FR_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/229e9dd730d43 [...] 601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/5 [...] taller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 5196057906
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {83252F41-71B7-492E-8B2E-A68AA3E301E7} (Ulysse Class) - http://htmldialer.parisvoyeur.com/ [...] nelope.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f006.mail.caramail.lycos.fr [...] loader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/conten [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2ACA2038-668A-450D-BB70-C4328D2F3555}: NameServer = 80.10.246.130 80.10.246.3
 


 
 
c est le log

Reply

Marsh Posté le 02-11-2004 à 22:22:01    

j'vois rien de suspect mais attendons l'avis des experts ?

Reply

Marsh Posté le 02-11-2004 à 22:22:26    

question idiote mais aucun soft de téléchargement en route ? :D

Reply

Marsh Posté le 02-11-2004 à 22:24:24    

non aucun

Reply

Marsh Posté le 02-11-2004 à 22:25:23    

ce log est pourri :)
 
passe le sur www.hijackthis.de et tu verras une bonne dizaine de truc a virer
 
notamment l'adresse IP de fin

Reply

Marsh Posté le 02-11-2004 à 22:26:25    

ho la boîte à merde ! c'est pour ça que j'aime norton :D t'es plein de saloperies mon gars !
 
regarde dans ma signature pour nettoyer tout ça ...
 

daddykiller a écrit :


 
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
C:\WINDOWS\System32\logon.exe
 
O4 - HKLM\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\RunServices: [BIOS XP Loader] lfrtjv.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\RunServices: [Windows Dialup Service] dialup.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [update run dos] logon.exe
 
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binar [...] _FR_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/229e9dd730d43 [...] 601_fr.cab
O16 - DPF: {83252F41-71B7-492E-8B2E-A68AA3E301E7} (Ulysse Class) - http://htmldialer.parisvoyeur.com/ [...] nelope.cab


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 02-11-2004 à 22:26:25   

Reply

Marsh Posté le 02-11-2004 à 22:26:53    

CK Ze CaRiBoO a écrit :

j'vois rien de suspect mais attendons l'avis des experts ?


 
 [:tibo2002]


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 02-11-2004 à 22:27:49    

gargamail a écrit :

ce log est pourri :)
 
passe le sur www.hijackthis.de et tu verras une bonne dizaine de truc a virer
 
notamment l'adresse IP de fin


 
non pas l'IP de fin ce'st ses DNS  [:tibo2002]


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 02-11-2004 à 22:28:18    

j'ai grillé Darxmurf [:moamoa]

Reply

Marsh Posté le 02-11-2004 à 22:29:06    

Citation :

non pas l'IP de fin ce'st ses DNS  


 
une IP fixe dans la BDR ?  [:w3c compliant]

Reply

Marsh Posté le 02-11-2004 à 22:29:30    

oué mais tu dis des conneries [:moamoa] :D ouah l'autre ziav ! :D


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 02-11-2004 à 22:31:15    

allo ?? ca coupe .. je passe sous un tunnel  :o

Reply

Marsh Posté le 02-11-2004 à 22:32:44    

roooooooooh :D
 
bon sans déc, il est où daddykiller ?
 
tain norton c'est vraiment une passware :(
 
EDIT : oui l'IP fixe c'est les serveurs DNS de son provider qui eux sont fixes... sans eux, il serait obligé de tapper http://216.239.57.99 pour aller sur google :D


Message édité par darxmurf le 02-11-2004 à 22:34:23

---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 02-11-2004 à 22:33:03    

winadtools, ca vous dit quelque chose ?

Reply

Marsh Posté le 02-11-2004 à 22:34:41    

oui c'est de la merde désinstalle le depuis l'ajout de supression de programmes...
 


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 02-11-2004 à 22:35:00    

oki

Reply

Marsh Posté le 02-11-2004 à 22:35:28    

bon moi je vais me coucher...  
 
Dadykiller... suis ma signature pour le nettoyage ça devrait le faire :D et sinon je suis online demain à partir de 7h30 !


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 02-11-2004 à 22:44:28    

ca me dit d effacer logon.Exe,c est pas le logon de xp ca ?

Reply

Marsh Posté le 02-11-2004 à 22:45:52    

Tiens sa ressemble à ce qu'on a eu cette aprem au taf [:dawa]
c'est une variante de Sdbot:
 
pour info l'expertise a eu lieu cette aprem
 
Network Associates A.V.E.R.T.
Une Division des Laboratoires NAI
UK, Aylesbury
Notre référence : 151....
Analyste: L. C.
 
Virus Identifié:  W32/Sdbot.worm

 
 
la seule difference c'est nom du fichier a priori...
 
Par contre ils nous n'ont pas filer de fix, mais une maj du fichier de def virale ...
 
Pour calmer la bete on a desactivé l'exe qui se lancent au demarrage avec un bete msconfig :)
 
sinon essaye stinger, peut etre qu'il le trouve ? (enfin pas la variante de cette aprem)
 
http://vil.nai.com/vil/stinger/


Message édité par nikolai le 02-11-2004 à 22:46:54

---------------
Soutenez l'association Chat Qu'un Son Toit - 86 | les RoadRunners sur BOiNC
Reply

Marsh Posté le 02-11-2004 à 22:48:10    

apparement a²free a l air assez aisé a utliser, je vais l'essayer.

Reply

Marsh Posté le 02-11-2004 à 22:52:14    

A j'ai oublié de precisé.
l'exe se trouve dans windows/system32.
c'est un fichier caché  / systéme.
 
Pour voir l'exe qui est à l'origine de ces ouvertures de connexions tu peut utilisé fport dispo ici
http://www.foundstone.com/index.ht [...] ection.htm
 
il s'utilise en ligne de commande.
 
ensuite desactivé son lancement via msconfig ou la base de registre


Message édité par nikolai le 02-11-2004 à 22:52:25

---------------
Soutenez l'association Chat Qu'un Son Toit - 86 | les RoadRunners sur BOiNC
Reply

Marsh Posté le 02-11-2004 à 22:55:21    

Citation :

ca me dit d effacer logon.Exe,c est pas le logon de xp ca ?


 
 
le vrai logon c'est C:\WINDOWS\system32\winlogon.exe
 
 

Citation :

Troj/Golon-A est un cheval de Troie de porte dérobée.  
Le cheval de Troie se copie dans le dossier système de Windows sous le nom de fichier logon.exe et configure dans la base de registre l'entrée suivante :  
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\logon.exe =
<Système Windows>\logon.exe  
Troj/Golon-A crée aussi plusieurs entrées


 
A virer suivant la page de Symantec


Message édité par Profil supprimé le 02-11-2004 à 22:59:21
Reply

Marsh Posté le 02-11-2004 à 23:37:49    

bon, a premiere vue, j ai stoppé le logon.exe dans les processus.  
 
j ai fait un netstat et il n y a plus de tentatives de connections .
 
donc, c est bien le logon.exe qui foutait le caca.
 
je l ai viré de la bse de registre et désactivé du msconfig.
 
merci a tous pour votre aide, elle m'a permi de virer le reste de saloperies qu il y avait dans mon pc.  
 
juste une petite note perso :  
 
Je tiens officiellement a remercier les investigateurs et les protagonistes de ce topic et de hfr en général. j'ai eu en informatique pas mal de déboires et c'est toujours (  a 99% des cas ) ici que j ai eu la solutiona mon pb.
 
pour cela, j tiens a remercier les gens de hfr et les "hache et fait rien."
 
nerdz attitude.
 
merci encore a tous !
 
je reviendrais si au rebbooot ca recommence ^^  
 
voilou ;)
 
sinon, bonne nuitée :)  
 

Reply

Marsh Posté le 03-11-2004 à 00:24:41    

bon ben je reviens... logon.exe revient a chaque reboot, pourtant j ai viré la clé dans le registre et dans msconfig. :(

Reply

Marsh Posté le 03-11-2004 à 00:26:03    

l'a tu fait en mode sans echec ( la suppression du fichier logon.exe )???


Message édité par Profil supprimé le 03-11-2004 à 00:26:39
Reply

Marsh Posté le 03-11-2004 à 00:29:25    

je viens de le faire au moment ou je te parle
 
je reboot.

Reply

Marsh Posté le 03-11-2004 à 09:45:48    

hi hi salut les moules :D alors ça avance pas ?
 
daddykiller, tue tous les processus possible et va faire un scann online sur le site de trendmicro... (si t'as pas de firewall, active au moins celui de XP sinon ça revient tout seul !)

Reply

Marsh Posté le 03-11-2004 à 16:36:42    

c fait, en fait c etait longon.exe qui foutait le caca :)
 
maintenant, tout va comme sur des roulettes, merci encore !

Reply

Marsh Posté le 03-11-2004 à 17:58:11    

hi hi et tu veux un conseil ? change d'antivirus :D


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 03-11-2004 à 18:02:50    

Darxmurf tu fais chier avec ça :o
 
:hello: quand même :D


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 04-11-2004 à 00:21:53    

minipouss a écrit :

Darxmurf tu fais chier avec ça :o
 
:hello: quand même :D


 
oui mais bon ... avec toutes les machines qu'on aide, y en a quand même pas mal qui tournent avec norton ...  :sweat:  
 
 
bizoux sur le nez :hello:


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 04-11-2004 à 02:40:15    

Salut,
 
T'aurais pas un soft peer-to-peer genre eMule qui tourne ???
 :pt1cable:  
 
Avec eMule, t'as un max de connexions qui se créent, donc ca me semble normal.
 
Did

Reply

Marsh Posté le 04-11-2004 à 08:44:51    

didleur a écrit :

Salut,
 
T'aurais pas un soft peer-to-peer genre eMule qui tourne ???
 :pt1cable:  
 
Avec eMule, t'as un max de connexions qui se créent, donc ca me semble normal.
 
Did


 
  [:benou_grilled]  :heink: le monsieur avait plein de virus tout marche maintenant ...

Reply

Marsh Posté le 04-11-2004 à 17:42:07    

didleur a écrit :

Salut,
 
T'aurais pas un soft peer-to-peer genre eMule qui tourne ???
 :pt1cable:  
 
Avec eMule, t'as un max de connexions qui se créent, donc ca me semble normal.
 
Did


 
 
ca m'est arrivé d'en utiliser, mais en ce moment aucune utilisation :)  
 
et oui tout remarche !!!
 
par contre, qu est ce que ca rame avec cet antivirus... :(

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed