Haxdoor & Win32.Qhosts [Résolu]

[Lianodel]

Bonjour,

Voila, j'ai été alerter il y a quelques jours de l'entrée d'un virus sur mon ordinateur. Quand je lançait une page internet, il me renvoyait sur C:/secure32.html en me disant que les informations sur mon ordinateur et ma connexion était facilement trouvable par les pirates et que mon ordinateur courait un très gros risque. Ils m'ont donc proposé d'aller sur un lien http//www.spy-sheriff.com/ mais j'ai pas voulu tester, pensant que justement c'était ce logiciel qui installait le virus. J'ai été voir sur différent forum etc pour me renseigner...

J'ai lancé Ad-Aware, Spybot search and Destroy, Avast! et NOD32 antivirus... j'ai réussi a enlever ce problême de C:/secure32.html et ma connexion s'est mise a ne plus fonctionner et l'ordinateur avec qui j'ai partagé ma connexion en réseau ne pouvait plus se servir d'internet même une fois la connexion revenue...

J'ai tester de lancer des jeux online, et apparemment, leur accès est bloqué, plus aucun ne fonctionnent . Je sais pas si c'est un virus, si c'est spysheriff qui est toujours la mais c'est très embêtant....

Dernière chose, l'antivirus avast! me disait presque toute les 5 minutes :

"LSASS Exploit (SXP)" attack
from 84.7.25.39:445

"DCOM Exploit" attack
from 84.185.14.97:135

Je sais pas non plus ce que c'est... Si vous pouviez m'aider s'il vous plait

[Sév]

Bonjour et bienvenue,

Suis cette >>Procédure<< à la lettre, et poste nous tes rapports.

On te dira quoi faire ensuite


@+

[Lianodel]

Ah oui, j'ai oublié quelques choses...

J'ai déja lancer SmitfraudFix et apparemment, il n'y avait plus de problemes.... Mais pourtant j'ai eu quelque jour après mon fond d'écran qui devenait bleu... Maintenant, mon fond d'écran arrive normalement mais mon autre soucis est que je ne peu plus accéder à mon pare-feu (le pare-feu de Windows XP SP2) et je sais pas pourquoi, peut-etre le virus qui est toujours la ... Merci pour ta rapide réponse, je vais refaire tout ça au cas ou^^.

[Lianodel]

Voila le résultat :

HijackThis

ActiveScan Panda

SmitfraudFix option 1

[Sév]

Il y a un invité de marque sur ton pc : Haxdoor

On va s'occuper de lui en priorité, mais fais tout de même une sauvegarde de tes données importantes. Evite aussi de mettre ce pc en réseau.


HijackThis n'est pas à sa place. Réinstalle le à partir >>d'ici<<.

Tu devras toujours le lancer à partir du répertoire C:\HijackThis\HijackThis.exe afin qu'il puisse créer un backup.


Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnecté d'Internet. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre, dans l'ordre et sans t'interrompre.

• Vide la quarantaine de Avast et désactive le : un seul antivirus actif par machine ou tu risques une instabilité du système.
  
  
• Télécharge les outils suivants :
  
  
  • Process Explorer
    
    
  • Killbox--> Imprime le tuto
    
    
  • Hoster --> Dézippe le sur ton bureau, n'y touche pas pour le moment
    
    
  • DellDomains.inf --> Clique droit sur le lien et choisis enregistrer sous. N'y touche pas pour le moment
    
    
  • CCleaner---> Imprime le tuto
    
    
  • CleanUp--> Ne l'utilise pas pour le moment
  
  
  
  
• Ouvre le bloc notes, copie et sauvegarde cette liste de fichiers. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :
  

  Citation:

  C:\WINDOWS\country.exe C:\Documents and Settings\All Users\Application Data\TheDateBindPure\glue live.exe C:\Documents and Settings\All Users\Application Data\TheDateBindPure\HoleOption.exe C:\Documents and Settings\Morgan\Application Data\Grey wait\oepuskyb.exe C:\Documents and Settings\Morgan\Application Data\Grey wait\Plusmeow.exe C:\Documents and Settings\Morgan\Application Data\Grey wait\rvwsxqxu.exe C:\WINDOWS\system32\ActiveScan\pavdr.exe 240910 C:\WINDOWS\SYSTEM32\avpe32.dll

  
  
  
• Débranche ta connexion internet à partir de maintenant et ferme tous les programmes en cours
  
  
• Lance CCleaner comme c'est expliqué sur le tuto
  
  
• Lance Process Explorer en double cliquant sur procexp.exe. (Un message Warning va s'afficher, n'en tiens pas compte.)
  
  
  • Dans la fenêtre du haut, double-clique sur winlogon.exe.
    
    
  • Dans la fenêtre qui s'ouvre, choisis l'onglet Threads.
    
    
  • Pour chaque occurence de avpe32.dll , clique dessus, et clique sur le bouton Kill, puis sur OK
    
    
  • Double clique sur explorer.exe
    
    
  • De nouveau, dans l'onglet Threads, clique sur Kill pour chaque occurence de avpe32.dll puis sur OK
  
  
  
• Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copié préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.
  
  
• Redémarre en mode sans échec
  
  
• Relance HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
  
  O1 - Hosts: 193.239.120.210 l2authd.lineage2.com
  O2 - BHO: (no name) - {6A281B31-A16C-C789-C5E0-9B36EC2FDAFD} - (no file)
  O4 - HKLM\..\RunOnce: [Panda_cleaner_240910] C:\WINDOWS\system32\ActiveScan\pavdr.exe 240910
  O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
  
  
• Clique sur Fix Checked et accepte les modifications.
  
  
• Fais un clic droit sur le fichier DellDomains.inf, dans le menu contextuel choisis installer.
  
  
  
• Double-clicque sur Hoster
  
  
  • Clique sur Restore original Hosts et rien d'autre
    
    
  • Ferme le programme
    
    
  • Suis ce chemin de fichier dans l'explorateur de Windows : C:\WINDOWS\system32\drivers\etc
    
    
  • Repère les fichiers lmhosts.sam et HOSTS, clicque droit sur chacun d'entre eux, choisis Propriétés dans le menu contextuel et coche la case Lecture seule
  
  
• Nettoie de nouveau avec CCleaner
  
  
• Lance CleanUp
  
  
• Redémarre normalement
  
  
• Fais un scan en ligne avec KAV et Panda et donne moi les deux rapports.
  
  
  
• Nouveau log HijackThis (Do A System Scan and Save A Logfile)

Bonne chance

@+


Ps : J'édite le titre de ton sujet pour qu'il soit plus compréhensible, tout le monde a un problème de virus sur cette partie du forum

[Lianodel]

Je post le log de HijackThis en attendant que le scan en ligne de KAV et Panda soit fini parce que, c'est pas que c'est long, mais c'est que c'est ENORMEMENT long, pour information KAV : 50 minutes ==> tout juste passé à 2% (4 virus, 7 objets infectés...), et puis Panda, bah il en a pour un LONG moment aussi ^^'. C'est peut-être d'avoir lancé les deux en meme temps aussi...

Et aussi mon antivirus actuel (NOD32) a trouvé un cheval de troie dans C:/windows/hosts, je peu le supprimé ?

Dernière chose, j'ai eu un petit problême avec Killbox :

[Sév]

[Lianodel]

Voila, c'est enfin fini, voici le résultat pour Kav. J'ai interrompu le scan vu qu'il est resté pendant 3 heure sur le même fichié qui été sans aucun doute le dernier a vérifié et que j'ai supprimé juste après.

Par contre Panda a rien trouvé, je le relance une fois pour voir mais normalement, il a rien trouvé.

Voici le log de HijackThis.

J'espère que j'ai tout fait correctement, j'ai une facheuse tendance à avoir pas de chance et des résultats anormaux...

Merci beaucoup de me supporter .

Bonne nuit

[Sév]

Ton log est propre

• Vide la quarantaine de Nod32
  
  
• Désactive la restauration du système pour supprimer les points de restauration infectés et réactive la aussitôt.
  
  
• Crée un nouveau point de restauration du système ensuite :
  
  
  • Démarrer / tous les programmes
    
    
  • Accessoires
    
    
  • Outils systèmes
    
    
  • Restauration du système
    
    
  • Coche la case "Créer un point de restauration"
    
    
  • Nomme le comme tu veux
    
    
  • Clique sur "Créer" et ferme la fenêtre
  
  
  
• Nouveau scan et rapport de KAV

C'était quoi le fichier que tu as supprimé avant d'interrompre le scan

Bonne nuit

[Lianodel]

Ah !

Hum, comment on fait pour vider la quarantaine d'un antivirus ?

Sinon, ya Nod32, il m'affiche toujours des messages comme quoi j'ai des virus... mais je sais pas trop quoi faire, je viens de me procurer ce logiciel parce qu'il parait que c'est le meilleur en ce moment... Si tu veux, je peux mettre les noms et les emplacements si je les retrouvent.

Et pour le fichier, je l'ai supprimé après la fin du scan vu que je pouvais pas le supprimer pendant qu'il travaillait dessus, c'était une image virtuelle d'un cd de jeu faite avec nero (seule solution quand on a un frère qui vous squatte vos cd de jeux T_T).

Merci pour tout en tout cas, je vais m'attaquer a la restauration système, en espérant que j'y comprenne quelque chose^^.

[Lianodel]

J'espère que c'est pas grave si je ne vide pas la quarantaine de NOD32 avant de faire la restauration parce que je sais pas comment on fait .

[Sév]

Bonjour,

Je n'ai pas Nod32 sous la main pour te donner la manip exacte, mais en cherchant un peu tu devrais trouver

Sinon il reste la suppression à la hussarde :

1. Supprime le contenu du dossier C:\Program Files\Eset\infected
   
   
2. Vide la corbeille
   
   
3. Désactive et réactive la restauration du système ensuite
   
   
4. Redémarre et crée un nouveau point de restauration.
   
   
5. Nouveau scan en ligne avec KAV et rapport

Pour optimiser l'utilisation de Nod32, tu peux consulter la FAQ de ton antivirus.

@+

[Lianodel]

Voila, j'ai supprimé le contenu du dossier infected ^^.

Sinon :

[Sév]

[Lianodel]

^^ j'ai réssayer le scan KAV, mais il doit avoir une dent contre moi, il est encore retourné à la page précédente à 96%... Il avait trouvé 1 virus et 2 infectés mais j'avais cru voir que c'étais dans c:/Program Files/ donc j'ai refait un scan vite fait sur ce répertoire et j'ai eu 1 virus et 3 infectés, j'ai arrêté pour voir d'ou ça venait, et c'était du dossier infected de NOD32 ^^. Donc a priori, pas de soucis.

Juste que NOD32 me trouve toujours des virus, même s'il les bloques, c'est un peu gênant (Par exemple Cheval de Troie dans c:/Windows/hosts donc, je sais pas si c'est dangereux mais je voudrais pas voir Brad Pitt sortir de là...)

Il faudrait que j'arrête de poster aussi tard, c'est mauvais pour mon image ^^'.

Je met quand même le résultat que j'ai eu, au cas ou^^. Voir si je dois encore purgés ce repertoire infected.

Voila voila, encore merci pour tout Loreleï, bonne nuit !! (j'aime bien ce smiley )