| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
Chip6
Inscrit le: 12 Déc 2005
Messages: 17
|
 Posté le: 12 Déc 2005 à 14:20 Sujet du message: [Résolu] Un ver, au s'cours ! |
 |
|
Bon bah voilà, je suis infectée par un ver... Alors après plusieurs manip (installé la nouvelle version de Norton, installer un 'vrai' firewall = ZoneAlarm, et fait un scan de tout ça) il me reste un nommé "shost.exe" que norton a pas réussi à virer. J'ai parcouru un peu le forum pour savoir comment faire, et du coup j'ai installé le logiciel HijackThis pour pouvoir vous filez les infos, en espérant que quelqu'un m'aide 
[LOG DELETED]
Walà le rapport HijackThis, je fais quoi maintenant ? Merci mille fois d'avance :sage: |
|
| Revenir en haut de page |
|
 |
Chip6
Inscrit le: 12 Déc 2005
Messages: 17
|
| Posté le: 12 Déc 2005 à 14:21 Sujet du message: |
|
|
Ah j'ai oublié de dire que j'ai Windows XP, au cas où c'est important :snif: (et que je suis pas super douée en informatique, aussi  ) |
|
| Revenir en haut de page |
|
|
3dmin
Administrateur
Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels
|
| Posté le: 12 Déc 2005 à 15:30 Sujet du message: Re: Un ver, au s'cours ! |
|
|
| Chip6 a écrit: |
| installé la nouvelle version de Norton |
La passeoire...
| Chip6 a écrit: |
| installer un 'vrai' firewall = ZoneAlarm |
Ok, effectivement t'as choisis un 'vrai'.
| Chip6 a écrit: |
| il me reste un nommé "shost.exe" que norton a pas réussi à virer. |
YODO WORM! Belle Pioche... et vive Norton, pfff quelle passeoire ce prog...
| Chip6 a écrit: |
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) |
Il faut mettre à jour si tu veux être protègé. Tu n'a pas de SP1 tu n'as pas de SP2 et encore moins le SP2 pour IE6 !!!
Pour ce qui concerne ton SHOST.EXE, je ne l'ai pas vu dans les processus en cours. Ce qui veux dire qu'il n'est pas démarré. ou alors sous un autre nom.
Par contre voiçi la commande survivante de ce salopiau
| Code: |
| O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing) |
Le fichier est supprimé, ou alors les cases ne sont pas respectées (maj/min). donc regarde si tu le toruve dans C:\Windows, si oui efface-le...
Alors dans ton log voiçi quelques lignes à vérifier :
| Code: |
O4 - HKLM\..\Run: [Network Host Service] yvrokkn32.exe
O4 - HKLM\..\Run: [Windowsz] rwnt.exe
O4 - HKLM\..\RunServices: [Network Host Service] yvrokkn32.exe
O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe
O20 - Winlogon Notify: nnnkj - C:\WINDOWS\System32\nnnkj.dll
O20 - Winlogon Notify: rqoml - C:\WINDOWS\SYSTEM32\rqoml.dll |
Ces lignes ne me semblent pas vraiment très catholiques... - 5 min plus tard - En fait ce sont des vers, je viens de faire une recherche sur le net...
Tu est bien vérollé ! 
Pas étonnant vu que ton système n'a plus été mis à jour depuis 5 ans au moins vu que t'as même pas le SP1.
Ca signifie donc que tu est vulnérable à une bonne centaines de failles... ce qui signifie que le FW et l'A-V ne pourront pas faire grand chose façe aux bons vieu virus ou vers...
Je te conseille de faire tourner Silent Runners (clique droit et "enregistrer sous...") et de nous coller le résultat ci dessous afin qu'on puisse voir en détail si tu n'est pas plus infecté que ce que HijackThis le dis.
Voilà pour commencer, préparre-toi à un bon coup de nétoyage et commence déja à télécharger (pas encore installer, juste télécharger) les services pack 1 et 2.
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010
"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 |
|
| Revenir en haut de page |
|
|
Lenouvdu44
Administrateur
Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble
|
| Posté le: 12 Déc 2005 à 16:14 Sujet du message: |
|
|
Puis, tu installes ad-aware, et spybot. Tu les mets à jour et tu les passe en mode sans échec.
Penses aussi à mettre ton système !!! Le SP2 est une grande mise à jour ...
_________________
L'nouv qui devient L'vieux |
|
| Revenir en haut de page |
|
|
Chip6
Inscrit le: 12 Déc 2005
Messages: 17
|
| Posté le: 12 Déc 2005 à 18:31 Sujet du message: |
|
|
Ah oui j'ai oublié de vous dire que j'ai dû formater mon pc pour de sombres raisons d'incompétence de hot line  et donc je pense que ça explique que je n'ai plus SP2. Par contre pour IE je ne l'utilise pas, j'utilise FireFox, vos recommandations sont quand même valables ? :sage: |
|
| Revenir en haut de page |
|
|
Chip6
Inscrit le: 12 Déc 2005
Messages: 17
|
| Posté le: 12 Déc 2005 à 18:31 Sujet du message: |
|
|
[LOG DELETED]
Voilà pour SilentRunner :sage: |
|
| Revenir en haut de page |
|
|
Chip6
Inscrit le: 12 Déc 2005
Messages: 17
|
| Posté le: 12 Déc 2005 à 18:43 Sujet du message: |
|
|
Au fait, tu me conseilles quoi comme anti-virus alors, si Norton est une vraie passoire ? Autour de moi ils ne jurent que par ça alors  |
|
| Revenir en haut de page |
|
|
mickael44
Administrateur
Inscrit le: 05 Juin 2005
Messages: 5837
Localisation: Rennes / Ille Et Vilaine
|
| Posté le: 12 Déc 2005 à 19:54 Sujet du message: |
|
|
| Chip6 a écrit: |
| Autour de moi ils ne jurent que par ça alors |
Mon dieux, aujourd'hui on ne jure que sur des co**eries... ^^
En antivirus, je te conseille Kaspersky qui est pour moi le meilleur et Bit Defender. Je n'ai pas testé Bit Defender mais je n'en ai entendu que des bons échos!
Voila ! |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 12 Déc 2005 à 21:09 Sujet du message: |
|
|
he bien... certaines de ces cochonneries sont pourtant anciennes, norton est encore plus mauvais que ce que je pensais.
salut 3dmin,
je surveille la question et si besoin je reviendrais donner un coup de pouce.
Au passage chip6 tu peux prévenir tes contacts MSN ou figurant dans le carnet d'adresse qu'il fasse une analyse antivirus surtout s'ils se croient protégé par Nordob... euh norton |
|
| Revenir en haut de page |
|
|
3dmin
Administrateur
Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels
|
| Posté le: 13 Déc 2005 à 2:22 Sujet du message: |
|
|
| Chip6 a écrit: |
| Au fait, tu me conseilles quoi comme anti-virus alors, si Norton est une vraie passoire ? Autour de moi ils ne jurent que par ça alors |
Kaspersky est sans conteste "le conseillé" bien que pour ma part je le trouve encore un peu trop gourmand (je travaille avec des petites configs et peu de ram).
Donc j'utilise F-Prot (Frisk Software), qui me convient parfaitement...
| Laurent a écrit: |
salut 3dmin,
je surveille la question et si besoin je reviendrais donner un coup de pouce. |
Ouais, ceci dit il ne faut pas hésiter à corriger si le log est là (entre-nous, je savais que si tu passais tu le demanderais; j'anticipe, histoire de rendre les choses plus rapides...)
Comme tu peux constatter, des fois, j'arrive pas a respecter les horraires que je me suis donné.
De plus tu fait ça merveilleusement, j'ai rien à redire
Chip,
Pour toi on reprendra demain, je vais aller me coucher, il se fait tard et demain boulot 
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010
"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 13 Déc 2005 à 6:48 Sujet du message: |
|
|
Je passerais ce soir donner une procédure
attention avec ca
O20 - Winlogon Notify: nnnkj - C:\WINDOWS\System32\nnnkj.dll
O20 - Winlogon Notify: rqoml - C:\WINDOWS\SYSTEM32\rqoml.dll
et les deux BHO (lignes 02) qui vont avec à ne pas fixer de suite avec hijackthis sinon on risque de passer du temps à courir apres
il faudra utiliser Vundofix |
|
| Revenir en haut de page |
|
|
Chip6
Inscrit le: 12 Déc 2005
Messages: 17
|
| Posté le: 13 Déc 2005 à 12:03 Sujet du message: |
|
|
| 3dmin a écrit: |
Kaspersky est sans conteste "le conseillé" bien que pour ma part je le trouve encore un peu trop gourmand (je travaille avec des petites configs et peu de ram).
Donc j'utilise F-Prot (Frisk Software), qui me convient parfaitement... |
Ok, je viens de télécharger les deux, reste à savoir lequel il vaut mieux que j'installe 
| 3dmin a écrit: |
Chip,
Pour toi on reprendra demain, je vais aller me coucher, il se fait tard et demain boulot |
Pas de souci, et merci encore trois mille fois de votre coup de main à tous :sage: |
|
| Revenir en haut de page |
|
|
Lenouvdu44
Administrateur
Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble
|
| Posté le: 13 Déc 2005 à 20:34 Sujet du message: |
|
|
Je te conseil d'installer kaspersky 5.0 personal pro, que je trouve plus puissant que bit defender 8.0 (pas tester la 9.0)
_________________
L'nouv qui devient L'vieux |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 13 Déc 2005 à 21:04 Sujet du message: |
|
|
Apres plus mure recherche je crois que la "classique" suffira
=====================================================
Pour simplifier les suppression de fichier et les eventuelles erreur j'ai préparé ca qui facilitera grandement la tache et les recherches
ouvre le bloc note
demarrer tous les programmes accessoires blocnotes
fais un copier coller de ce texte
| Citation: |
@ECHO off
set savepath=%CD%
cd %savepath%
if exist "C:\WINDOWS\System32\nnnkj.dll" echo "C:\WINDOWS\System32\nnnkj.dll" present>>rapport.txt
if exist "C:\WINDOWS\System32\yvrokkn32.exe" echo "C:\WINDOWS\System32\yvrokkn32.exe" present>>rapport.txt
if exist "C:\WINDOWS\fyvrokkn32.exe" echo "C:\WINDOWS\yvrokkn32.exe" present>>rapport.txt
if exist "C:\WINDOWS\system32\rwnt.exe" echo "C:\WINDOWS\system32\rwnt.exe" present>>rapport.txt
if exist "C:\WINDOWS\rwnt.exe" echo "C:\WINDOWS\rwnt.exe" present>>rapport.txt
if exist "C:\WINDOWS\System32\nnnkj.dll" echo "C:\WINDOWS\System32\nnnkj.dll" present>>rapport.txt
if exist "C:\WINDOWS\SYSTEM32\rqoml.dll" echo "C:\WINDOWS\SYSTEM32\rqoml.dll" present>>rapport.txt
if not exist "C:\WINDOWS\System32\nnnkj.dll" echo "C:\WINDOWS\System32\nnnkj.dll" non trouve>>rapport.txt
if not exist "C:\WINDOWS\System32\yvrokkn32.exe" echo "C:\WINDOWS\System32\yvrokkn32.exe" non trouve>>rapport.txt
if not exist "C:\WINDOWS\fyvrokkn32.exe" echo "C:\WINDOWS\yvrokkn32.exe" non trouve>>rapport.txt
if not exist "C:\WINDOWS\system32\rwnt.exe" echo "C:\WINDOWS\system32\rwnt.exe" non trouve>>rapport.txt
if not exist "C:\WINDOWS\rwnt.exe" echo "C:\WINDOWS\rwnt.exe" non trouve>>rapport.txt
if not exist "C:\WINDOWS\System32\nnnkj.dll" echo "C:\WINDOWS\System32\nnnkj.dll" non trouve>>rapport.txt
if not exist "C:\WINDOWS\SYSTEM32\rqoml.dll" echo "C:\WINDOWS\SYSTEM32\rqoml.dll" non trouve>>rapport.txt
if exist "C:\WINDOWS\System32\nnnkj.dll" ATTRIB -h -s -a -r "C:\WINDOWS\System32\nnnkj.dll"
if exist "C:\WINDOWS\System32\yvrokkn32.exe" ATTRIB -h -s -a -r "C:\WINDOWS\System32\yvrokkn32.exe"
if exist "C:\WINDOWS\fyvrokkn32.exe" ATTRIB -h -s -a -r "C:\WINDOWS\yvrokkn32.exe"
if exist "C:\WINDOWS\system32\rwnt.exe" ATTRIB -h -s -a -r "C:\WINDOWS\system32\rwnt.exe"
if exist "C:\WINDOWS\rwnt.exe" ATTRIB -h -s -a -r "C:\WINDOWS\rwnt.exe"
if exist "C:\WINDOWS\System32\nnnkj.dll" ATTRIB -h -s -a -r "C:\WINDOWS\System32\nnnkj.dll"
if exist "C:\WINDOWS\SYSTEM32\rqoml.dll" ATTRIB -h -s -a -r "C:\WINDOWS\SYSTEM32\rqoml.dll"
if exist "C:\WINDOWS\System32\nnnkj.dll" del /q /f /a +h +s +a +r "C:\WINDOWS\System32\nnnkj.dll"
if exist "C:\WINDOWS\system32\yvrokkn32.exe" del /q /f /a +h +s +a +r "C:\WINDOWS\system32\yvrokkn32.exe
if exist "C:\WINDOWS\yvrokkn32.exe" del /q /f /a +h +s +a +r "C:\WINDOWS\yvrokkn32.exe"
if exist "C:\WINDOWS\system32\rwnt.exe" del /q /f /a +h +s +a +r "C:\WINDOWS\system32\rwnt.exe"
if exist "C:\WINDOWS\rwnt.exe" del /q /f /a +h +s +a +r "C:\WINDOWS\rwnt.exe"
if exist "C:\WINDOWS\SYSTEM32\rqoml.dll" del /q /f /a +h +s +a +r "C:\WINDOWS\SYSTEM32\rqoml.dll"
if exist "C:\WINDOWS\System32\nnnkj.dll" del /q /f /a +h +s +a +r "C:\WINDOWS\System32\nnnkj.dll"
if exist "C:\WINDOWS\System32\nnnkj.dll" echo "C:\WINDOWS\System32\nnnkj.dll" erreur suppression>>rapport.txt
if exist "C:\WINDOWS\System32\yvrokkn32.exe" echo "C:\WINDOWS\System32\yvrokkn32.exe" erreur suppression>>rapport.txt
if exist "C:\WINDOWS\fyvrokkn32.exe" echo "C:\WINDOWS\yvrokkn32.exe" erreur suppression>>rapport.txt
if exist "C:\WINDOWS\system32\rwnt.exe" echo "C:\WINDOWS\system32\rwnt.exe" erreur suppression>>rapport.txt
if exist "C:\WINDOWS\rwnt.exe" echo "C:\WINDOWS\rwnt.exe" erreur suppression>>rapport.txt
if exist "C:\WINDOWS\System32\nnnkj.dll" echo "C:\WINDOWS\System32\nnnkj.dll" erreur suppression>>rapport.txt
if exist "C:\WINDOWS\SYSTEM32\rqoml.dll" echo "C:\WINDOWS\SYSTEM32\rqoml.dll" erreur suppression>>rapport.txt
exit |
enregistre le fichier ou il te sera facile de le retrouver en mode sans echec en le nommant suppression
ensuite renomme ce fichier (clique droit choisis renommer) suppression.bat
====================================================
redemarre en mode sans echec imperatif !!
relance hijackthis et coche ces lignes
O2 - BHO: ATLDistrib Object - {3FE36807-69ED-45D1-B9BE-85C0E3F75B6A} - C:\WINDOWS\System32\nnnkj.dll
O4 - HKLM\..\Run: [Network Host Service] yvrokkn32.exe
O4 - HKLM\..\Run: [Windowsz] rwnt.exe
O4 - HKLM\..\RunServices: [Network Host Service] yvrokkn32.exe
O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe
O20 - Winlogon Notify: nnnkj - C:\WINDOWS\System32\nnnkj.dll
O20 - Winlogon Notify: rqoml - C:\WINDOWS\SYSTEM32\rqoml.dll
clique sur fixer objet
demarrer executer tape services.msc
recherche dans la liste
Service Hosts
double clique dessus et a type de demarrage choisis desactive
doubleclique sur le fichier suppression.bat
redemarre
un fichier texte nommé rapport.txt sera present dans le meme dossier ou tu as lancé le fichier suppression.bat,
fais un copier coller de son contenu dans ta prochaine reponse en incluant un nouveau log hijackthis
==================================================
Pour info ce fichier batch comprend pour chacun des fichiers a supprimer
une requete pour verifier sa presence
une requette pour modifier ses attributs
une requete de suppression (forcée en mode silencieux)
une requete de controle afin de s'assurer de la suppression des fichiers |
|
| Revenir en haut de page |
|
|
Chip6
Inscrit le: 12 Déc 2005
Messages: 17
|
| Posté le: 14 Déc 2005 à 12:06 Sujet du message: |
|
|
Alors, j'ai fini par installer Kaspersky dernière version, qui m'a trouvé un cheval de troie dans un truc appelé rqoml.dll
Là je viens de suivre toute ta procédure à la lettre, sauf que je n'ai pas de document rapport.txt nulle part :snif: Ah oui et dans la liste hijackthis dans le mode sans échec, à la place de la ligne
O20-Winlogon Notify:rqoml-C:\WINDOWS\System32\rqoml.dll
Moi j'avais :
O20-Winlogon Notify:rqoml-rqoml.dll (file missing)
Enfin j'ai quand même coché comme tu as dit 
Bon bref, donc je te copie mon log hijackthis sans le fichier rapport.txt que je n'ai pas.
[LOG DELETED]
Walà :sage: |
|
| Revenir en haut de page |
|
|
Ajouter à : 
|
|
Ce que nous vous conseillons :
