Rechercher sur Informatruc :             
  
Charte FAQFAQ  MembresMembres  S'enregistrerS'enregistrer  ProfilProfil  Vérifier ses messages privésVérifier ses messages privés ConnexionConnexion   Avatars
Sdbot & Trojan-Proxy.Win32.Ranky.du [Résolu]  
Ce sujet est verrouillé, vous ne pouvez pas éditer les messages ou faire de réponses.    Index du Forum Informatruc -> Désinfection des virus & analyses de logs HijackThis
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
the spooky kid
Fidèle
Fidèle


Inscrit le: 20 Jan 2005
Messages: 146
Localisation: Arras
MessagePosté le: 20 Juin 2006 12:45    Sujet du message: Sdbot & Trojan-Proxy.Win32.Ranky.du [Résolu] Répondre en citant

Bonjour,
je crois que j'ai un virus, au bout de 10 minute passé sur mon pc un message s'afiche avec un compte a rebours de 1 minute qui éteint mon pc.
j'ai fais un scan hijackthis et panda
http://cjoint.com/?guoSAvoEFG
http://cjoint.com/?guoS7I1ptT
merci de m'aider ;)

Titre édité par Loreleï
_________________
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
Sév
Membre fondatrice
Membre fondatrice


Inscrit le: 15 Fév 2005
Messages: 8034
Localisation: Rouen (France)
MessagePosté le: 20 Juin 2006 17:41    Sujet du message: Répondre en citant

Bonsoir,

Pourquoi tu n'as jamais installé le SP2 ? Triste

Je n'ai pas encore regardé ton log en détails, mais déjà tu peux faire ceci :

  1. Pour empêcher le reboot du pc : fais Démarrer / Exécuter et tape Shutdown –a et valide par Ok. (attention à bien respecter l'espace)

  2. Il y a un service actif lancé par un malware, mais je ne sais pas encore ce que c'est. On va le désactiver :

    • Par le menu Démarrer / Exécuter (ou touche Windows et R)
    • Tape services.msc
    • Double clique sur dllmgr64
    • Clique sur "Arrêter"
    • Définis le Type de démarrage en "Désactivé"
    • Clique sur Appliquer et ferme la console


  3. Télécharge, installe et nettoie ton pc avec CCleaner

  4. Fais un scan en ligne avec KAV et poste le rapport. Panda n'a pas tout vu, on aura plus d'infos de cette façon.


Je te dirais quoi faire ensuite Clin d'oeil

@+
_________________
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web du posteur
the spooky kid
Fidèle
Fidèle


Inscrit le: 20 Jan 2005
Messages: 146
Localisation: Arras
MessagePosté le: 22 Juin 2006 13:43    Sujet du message: Répondre en citant

- Comment instal t-on SP2?
- J'ai bien fais la commande dans "éxecuter"
- J'ai bien fais la commande avec le service actif
- J'ai nétoyé mon pc avec CCleaner
- j'ai fais l'analyse antivirus , voila le Rapport
merci Clin d'oeil
_________________
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
Sév
Membre fondatrice
Membre fondatrice


Inscrit le: 15 Fév 2005
Messages: 8034
Localisation: Rouen (France)
MessagePosté le: 23 Juin 2006 10:13    Sujet du message: Répondre en citant

Bonjour,

the spooky kid a écrit:
- Comment instal t-on SP2?


Il s'installe en faisant les mises à jour de Windows, via Windows Update. Mais il vaut mieux que le pc soit propre avant de l'installer pour éviter d'éventuels bugs, la mise à jour vers le SP2 étant une grosse modification du système.

Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnectée d'Internet et en mode sans échec. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre.

  1. Télécharge, installe et fais les mises à jour des outils suivants mais ne lance pas de scan pour le moment :



  2. Télécharge & installe Killbox--> Imprime le tuto

  3. Télécharge Blacklight de F-Secure, crée lui son propre dossier, sur le bureau.

  4. Ouvre le bloc notes, copie et sauvegarde cette liste. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :

    Citation:
    C:\WINDOWS\lsass.exe
    C:\WINDOWS\dllmgr64.exe
    C:\msutil64.exe
    C:\WINDOWS\system32\i


  5. Débranche ta connexion internet et ferme tous les programmes en cours.

  6. Vide la quarantaine de ton antivirus résident,

  7. Lance un nettoyage avec CCleaner, comme c'est expliqué sur le tuto.

  8. Lance BlackLight, clique sur Accept, puis sur Scan,

    Exclamation A la fin du scan, ferme le programme, ouvre le dossier que tu as créé, tu trouveras un fichier fsbl + date du jour.log, qu'il faudra poster sur ta prochaine réponse.

  9. Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copié préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.

  10. Redémarre en mode sans échec,

  11. Lance un scan complet avec Ewido, sauvegarde le rapport obtenu à la fin du scan et poste le sur ta prochaine réponse,

  12. Relance HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :

    Citation:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http//fr8.hpwis.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http//fr8.hpwis.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http//fr8.hpwis.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http//fr8.hpwis.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http//fr8.hpwis.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http//fr8.hpwis.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http//fr8.hpwis.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http//fr8.hpwis.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http//fr8.hpwis.com/
    O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
    O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
    O4 - HKLM\..\Run: [MS DLL Library Manager] C:\WINDOWS\System32\dllsys64.exe
    O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe
    O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)


  13. Clique sur Fix Checked et accepte les modifications.

  14. Lance un scan complet de Spybot S&D et supprime tout ce qu'il trouve.

  15. Redémarre ton pc en mode normal,

  16. Nouveau scan & rapport de Panda,

  17. Nouveau scan & rapport de KAV,

  18. Nouveau log HijackThis,

  19. N'oublie pas les rapports de Blacklight et de Ewido.


Selon les résultats de scan, on verra ce qu'on peut faire pour renforcer la sécurité du pc, afin d'éviter une surcontamination pendant la désinfection. Clin d'oeil

@+
_________________
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web du posteur
the spooky kid
Fidèle
Fidèle


Inscrit le: 20 Jan 2005
Messages: 146
Localisation: Arras
MessagePosté le: 25 Juin 2006 19:59    Sujet du message: Répondre en citant

Bonsoir,
J'ai fais tout et bien ce que tu m'as dit.
Voila les 4 rapports que tu m'a demandé
BlackLight
Ewido
Panda
Kaspersky
J'ai instalé SP2.
Je ne peux pas activer mon pare feux windows.
Quel anti-virus me conseil tu? Vu que norton 2003 antivirus (fourni gratuitement avec l'ordinateur il y a 3 ans) ne peux pas se conecter au reseau et donc ne peux pas le mettre a jour. Je l'ai donc désinstalé.
Merci Clin d'oeil
_________________
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
Sév
Membre fondatrice
Membre fondatrice


Inscrit le: 15 Fév 2005
Messages: 8034
Localisation: Rouen (France)
MessagePosté le: 26 Juin 2006 9:18    Sujet du message: Répondre en citant

Bonjour,

Tes rapports de scan sont propres. Très content

Désactive la restauration du système et réactive la aussitôt pour virer les points de restauration infectés.

the spooky kid a écrit:
J'ai instalé SP2.


J'aurais préféré que tu attendes un peu pour cela qu'on vérifie ensemble que ton pc n'était plus infecté Clin d'oeil

the spooky kid a écrit:
Je ne peux pas activer mon pare feux windows.


Qu'est ce qu'il se passe au juste Question

the spooky kid a écrit:
Quel anti-virus me conseil tu? Vu que norton 2003 antivirus (fourni gratuitement avec l'ordinateur il y a 3 ans) ne peux pas se conecter au reseau et donc ne peux pas le mettre a jour. Je l'ai donc désinstalé.


Il est correctement désinstallé Norton ?

Si tu veux le remplacer pour un antivirus payant : Nod32 ou Kaspersky

Si tu veux un antivirus gratuit, mais moins performants que les deux précédents : Avast ou AVG.

Tu ne m'as pas posté de log HijackThis Clin d'oeil

@+
_________________
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web du posteur
the spooky kid
Fidèle
Fidèle


Inscrit le: 20 Jan 2005
Messages: 146
Localisation: Arras
MessagePosté le: 26 Juin 2006 12:02    Sujet du message: Répondre en citant

- J'ai fais la manipulation de la restauration du systeme.
- Pour mon pare feux windows voila ce qui ne marche pas:
je fais clic droit sur les 2 petits ecran a droite de la barre des taches et je selectionne ouvrir les connexions réseaux. Je fais clic droit sur ma connection et je selectionne propriété. Je clic sur l'onglet "avancé" et je clic sur "paramétres" pour le pare feux. Voici ce que j'obtients Capture
Je ne peux rien cocher ni décocher Triste
- J'ai désintallé corectement norton antivirus 2003 , mais dois-je désinstaller liveupdate?
- Voici mon log HiJackThis
Merci de ton aide Clin d'oeil
_________________
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
Sév
Membre fondatrice
Membre fondatrice


Inscrit le: 15 Fév 2005
Messages: 8034
Localisation: Rouen (France)
MessagePosté le: 26 Juin 2006 12:42    Sujet du message: Répondre en citant

the spooky kid a écrit:
- Pour mon pare feux windows voila ce qui ne marche pas:
je fais clic droit sur les 2 petits ecran a droite de la barre des taches et je selectionne ouvrir les connexions réseaux. Je fais clic droit sur ma connection et je selectionne propriété. Je clic sur l'onglet "avancé" et je clic sur "paramétres" pour le pare feux. Voici ce que j'obtients Capture
Je ne peux rien cocher ni décocher Triste


Applique cette procédure après avoir fait les différentes manips qui suivent. Clin d'oeil


the spooky kid a écrit:
- J'ai désintallé corectement norton antivirus 2003 , mais dois-je désinstaller liveupdate?


Oui tu dois désinstaller tout ce qui concerne Symantec dans le Panneau de Configuration --> Voir ici.


the spooky kid a écrit:
- Voici mon log HiJackThis


Il reste un peu de ménage à faire d'après ton log, à commencer par les services.

Désactive Local Security Authority Subsystem Service, il est illégitime, c'est une trace d'infection de Sdbot.

  • Par le menu Démarrer / Exécuter (ou touche Windows et R)
  • Tape services.msc
  • Double clique sur Local Security Authority Subsystem Service
  • Clique sur "Arrêter"
  • Définis le Type de démarrage en "Désactivé"
  • Clique sur Appliquer et ferme la console


    Fais la même chose pour ceux-ci :

  • SymWMI Service --> Service actif de Norton,

  • InstallDriver Table Manager --> Service de Macrovision, qui ne sert strictement à rien, à part ralentir ton pc au démarrage.

  • iPodService --> Service lié avec iTunes que tu as dû certainement installé avec Quick Times.


Ensuite tu fais Démarrer / Exécuter et tape MSConfig, on va virer ce qui est inutile, parceque tu as une quantité de choses qui ne servent à rien au démarrage et ça rendra service à ton pc Clin d'oeil

  • Rends-toi dans l'onglet Démarrage et décoche les entrées suivantes :

    • hpsysdrv --> utilitaire de HP
    • StorageGuard --> update de matériel Sony qu'il vaut mieux faire soit même,
    • iTunesHelper --> Aide de iTunes à virer aussi,
    • QuickTime Task --> Lancement silencieux de Quicktime à dégager si tu ne t'en sers pas dès le démarrage du pc.


  • Clique sur Appliquer, une boîte de dialogue va apparaître et te demander si tu veux redémarrer le pc, accepte.

    Idée Si tu as conservé Msn 6 alors que sauf erreur de ma part tu utilises Live Messenger, désinstalle-le. Même chose pour la version 7.5 de Msn.


Poste un nouveau log HijackThis une fois que tu as fait tout ça Clin d'oeil

@+
_________________
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web du posteur
the spooky kid
Fidèle
Fidèle


Inscrit le: 20 Jan 2005
Messages: 146
Localisation: Arras
MessagePosté le: 26 Juin 2006 13:37    Sujet du message: Répondre en citant

- J'ai désinstallé tous les composants norton
- J'ai bien arrêté et désactivé ce que tu m'as demandé dans "services.msc"
- J'ai décoché les lignes dans "msconfig" sauf "StorageGuard" et "QuickTime Task" qui n'étaient pas présentes.
- J'utilise Windows Live Messenger
- Voici mon rapport HiJackThis
- En ce qui concerne le pare feux j'ai bien suivi la procedure et ca marche Clin d'oeil
- J'ai installé le logiciel avast
_________________
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
Sév
Membre fondatrice
Membre fondatrice


Inscrit le: 15 Fév 2005
Messages: 8034
Localisation: Rouen (France)
MessagePosté le: 26 Juin 2006 13:49    Sujet du message: Répondre en citant

Ton log est propre Accord

Plus de soucis ?

@+

[Edit] Coche et fix cette ligne avec HijackThis :

Citation:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

_________________
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web du posteur
the spooky kid
Fidèle
Fidèle


Inscrit le: 20 Jan 2005
Messages: 146
Localisation: Arras
MessagePosté le: 26 Juin 2006 14:07    Sujet du message: Répondre en citant

Voila j'ai bien coché la case.
Je n'ai plus de soucis merci beaucoup Clin d'oeil
Il vaudrait mieux que je désintalle les logiciels ewido , blacklight et killbox ou pas?
_________________
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
Sév
Membre fondatrice
Membre fondatrice


Inscrit le: 15 Fév 2005
Messages: 8034
Localisation: Rouen (France)
MessagePosté le: 26 Juin 2006 15:42    Sujet du message: Répondre en citant

the spooky kid a écrit:
Il vaudrait mieux que je désintalle les logiciels ewido , blacklight et killbox ou pas?


Tu peux désinstaller Ewido si tu veux et supprimer Blacklight, Killbox, et HijackThis.

A propos de Killbox, pense à supprimer sa quarantaine qui doit se trouver à la racine de ton disque dur : C:\!submit.

Fais un nettoyage avec CCleaner une fois par semaine pour nettoyer. Clin d'oeil

Contente de t'avoir aider :)

À la prochaine
_________________
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web du posteur
Montrer les messages depuis:   
Ce sujet est verrouillé, vous ne pouvez pas éditer les messages ou faire de réponses.    Index du Forum Informatruc -> Désinfection des virus & analyses de logs HijackThis Toutes les heures sont au format GMT
Page 1 sur 1

 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum







Partenaires: | Assiste PC | Emploi en informatique | Forum Informatique | Micro-Astuce | Opodo | Oxygène PC |


phpBB © - Template Informatruc ©