| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
raspilou1
Inscrit le: 26 Nov 2005
Messages: 94
|
 Posté le: 07 Déc 2006 à 14:58 Sujet du message: aide |
 |
|
voici mon ijac
Log supprimé - Service: Microsoft Windows DMR Service (Windows DMR Service) - Unknown owner - C:\WINDOWS\dmrproc.exe (file missing) |
|
| Revenir en haut de page |
|
 |
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 07 Déc 2006 à 15:56 Sujet du message: |
|
|
Bonjour,
Dans un premier temps on va s'occuper de l'infection par Vundo
- Télécharge Vundofix ( Atribune) http://www.atribune.org/ccount/click.php?id=4
Si ce lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml
* Double-clique VundoFix.exe pour le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
--le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre "shutdown" ; clique OK
* Démarre ton ordinateur
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.
--Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"
Post ce rapport Vundofix ainsi qu'un nouveau log Hijackthis s'il te plait |
|
| Revenir en haut de page |
|
|
raspilou1
Inscrit le: 26 Nov 2005
Messages: 94
|
| Posté le: 07 Déc 2006 à 22:26 Sujet du message: |
|
|
bonsoir laurent voivi les rapports
Log supprimé
et voici le hija
Log supprimé
la ligne 020 a bien disparu
si je relancais en mode sans echec et que je fixe ces lignes? |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 07 Déc 2006 à 23:35 Sujet du message: |
|
|
Re,
Si tu veux bien on va procéder par étape en utilisant en premier lieu les fix dédiés à ton cas puis viendra la suppression des traces restantes manuellement dans le post suivant.
=> Télécharge SDFix.exe (AndyManchesta) http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
-- Met le sur ton bureau
* Lance SDFix.exe
-- Choisis Install pour extraire les fichiers
=> Redémarre ton PC en mode sans échec
-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.
- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.
* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]
-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.
=> Lance SDFIX
-- Rend toi dans le dossier sdfix
* Lance le fichier RunThis.bat
-- Tape Y pour lancer le scan
* Un message s'affichera lorsque le scan sera terminé, Appuies sur une touche pour rédémarrer
* Au redémarrage cet utilitaire effectuera encore quelques opérations.
-- Il affichera ce message Finished, press any key to end the script and load your desktop icons.
-- Le rapport s'affichera. Ce rapport est sauvegardé par défaut dans le dossier SDFIX et sera nommé Report.txt.
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse. ainsi qu'un nouveau log Hijackthis |
|
| Revenir en haut de page |
|
|
raspilou1
Inscrit le: 26 Nov 2005
Messages: 94
|
| Posté le: 07 Déc 2006 à 23:59 Sujet du message: |
|
|
voici
Log supprimé
et le hijac
Log supprimé - Service: Microsoft Windows DMR Service (Windows DMR Service) - Unknown owner - C:\WINDOWS\dmrproc.exe (file missing) |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 08 Déc 2006 à 0:23 Sujet du message: |
|
|
| raspilou1 a écrit: |
Rootkit pe386 Present!
|
Une belle cochonnerie que tu as là.
On repart donc sur un autre fix spécifique
Télécharge rustbfix.exe http://www.uploads.ejvindh.net/rustbfix.exe
* Met le sur le bureau
- Lance rustbfix.exe
* L'outil déterminera si l'infection est bien présente et continuera son travail si besoin.
/!\ l'outil redémarrera automatiquement l'ordinateur (il peut y avoir 2 redémarrages)
Après le (ou les) redémarrage post les deux logs (c:\avenger.txt et c:\rustbfix\pelog.txt)
Post aussi un nouveau log Hijackthis pour continuer |
|
| Revenir en haut de page |
|
|
raspilou1
Inscrit le: 26 Nov 2005
Messages: 94
|
| Posté le: 08 Déc 2006 à 8:33 Sujet du message: |
|
|
voila c est fait
************************* Rustock.b-fix -- By ejvindh *************************
08/12/2006 7:23:44,96
******************* Pre-run Status of system *******************
Rootkit driver PE386 is found. Starting the unload-procedure....
Examine the Avenger-logfile in order to assess the success of the unload-procedure
Rustock.b-ADS attached to the System32-folder:
:18467 65496
Total size: 65496 bytes.
Attempting to remove ADS...
system32: deleted 65496 bytes in 1 streams.
******************* Post-run Status of system *******************
Rustock.b-driver on the system: NONE!
Rustock.b-ADS attached to the System32-folder:
No streams found.
******************************* End of Logfile ********************************
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\elirmfrn
*******************
Script file located at: \??\C:\niuaffid.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.
Completed script processing.
*******************
Finished! Terminate.
et le hijac
Log supprimé
quelles sont les lignes en relation avec rootkit? |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 08 Déc 2006 à 13:19 Sujet du message: |
|
|
Bonjour,
Ce rootkit n'apparait pas dans un log Hijackthis. C'est lors de l'utilisation de certains fix / utilitaire qu'on le détecte (scanner dédié, Smitfraudfix, SDFix etc)
On va donc maintenant enter de 'occuper des traces restantes
=> Lance AVG AntiSpyware
-- menu Mises à jour
---- Clique sur le bouton Commencer la mise à jour
* Une fois les mises à jour terminées quitte
=> Redémarre ton PC en mode sans échec
-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.
=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\System32\jqekwqwx.dll
O2 - BHO: (no name) - {D638C942-C64F-481A-A356-6FB59A0674DB} - C:\WINDOWS\System32\awvvt.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [MS Windows Local Directory] MSWLD32.exe
O4 - HKLM\..\RunServices: [Win32] msnsrv.exe
O4 - HKCU\..\Run: [MS Windows Local Directory] MSWLD32.exe
---- Clique sur Fix cheked
-- Quitte Hijackthis
=> Autorise l'affichage des fichiers et dossiers cachés
* Clique sur Démarrer >>> Panneau de configuration
* Dans le menu en haut clique sur Outils choisis Option des dossiers
* Sélectionne l'onglet Affichage
-- [X] Coche Afficher les Fichiers et dossiers cachés
-- [ ] Décoche Masquer les fichiers protégés du système d'exploitation
-- [ ] Décoche Masquer les extensions dont le type est connu
* clique succesivement sur
-- En haut Appliquer à tous les dossiers
-- En bas Appliquer et Ok pour valider les changements
* Ferme la fenêtre
=> Recherche et supprime ce(s) fichiers(s)
| Citation: |
C:\WINDOWS\System32\jqekwqwx.dll MSWLD32.exe (normalement dans C:\WINDOWS\System32\)
msnsrv.exe (normalement dans C:\WINDOWS\System32\)
|
=> Lance AVG AntiSpyware
* Menu analyse
-- Onglet Analyser
* clique sur analyse complète du système pour lancer le scan
* Le scan fini clique sur Appliquer toutes les actions
-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse
=> Redémarre en mode normal
Aux vues des infections un scan en ligne même si cela est long permettra de vérifier l'intégralité du système
=> Fais un scan en ligne avec Internet explorer
* Rend toi sur ce site http://webscanner.kaspersky.fr/
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant
* Clique sur le bouton paramètres d'analyse
-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.
Note :
- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566
=> Résultat
- Post les différents rapports obtenus
-- Kaspersky Online
-- AVG Anti-spyware
-- Un nouveau log Hijackthis (fait en mode normal)
-- Toutes questions, remarques, complément d'information et si une amélioration est constatée.
Bon courage. |
|
| Revenir en haut de page |
|
|
raspilou1
Inscrit le: 26 Nov 2005
Messages: 94
|
| Posté le: 09 Déc 2006 à 10:21 Sujet du message: |
|
|
voila avce un peu de retard mes rapports
Log supprimé
---------------------------------------------------------
Log supprimé
et enfin
Log supprimé
C:\WINDOWS\HELP\qhhxqjxl.exe In |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
|
| Revenir en haut de page |
|
|
raspilou1
Inscrit le: 26 Nov 2005
Messages: 94
|
| Posté le: 09 Déc 2006 à 18:11 Sujet du message: |
|
|
voila laurent les deux programmes sont charges et actifs voici un noveau hijac
Log supprimé - Service: Microsoft Windows DMR Service (Windows DMR Service) - Unknown owner - C:\WINDOWS\dmrproc.exe (file missing) |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 09 Déc 2006 à 20:46 Sujet du message: |
|
|
Bonjour,
As tu fais le scan avec Kaspersky en mode sans echec ?
Si non fais le après avoir fait cette petite manip
Télécharge VirtumundoBegone http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
- Met le sur le bureau, Lance le et suis les instructions.
Post un nouveau log Hijackthis après redémarrage
a+ |
|
| Revenir en haut de page |
|
|
raspilou1
Inscrit le: 26 Nov 2005
Messages: 94
|
| Posté le: 09 Déc 2006 à 21:43 Sujet du message: |
|
|
voila mon nouveau ijac apres un scan avec kapersky et le programme charge
Log supprimé
toujours cette ligne en 02 et ces lignes 020 qui semblent tu m arretes si je me trompe etre des problemes
si je les fixe en mode sans echec? |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 09 Déc 2006 à 22:00 Sujet du message: |
|
|
Re, C'est exactement ce que l'on va faire.
=> Redémarre ton PC en mode sans échec
=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes
O2 - BHO: (no name) - {34CEA697-AC8D-4A3C-81BA-F2AD69741B86} - C:\WINDOWS\System32\pmnlk.dll
O20 - Winlogon Notify: pmnlk - C:\WINDOWS\System32\pmnlk.dll
---- Clique sur Fix cheked
-- Quitte Hijackthis
=> Autorise l'affichage des fichiers et dossiers cachés
* Clique sur Démarrer >>> Panneau de configuration
* Dans le menu en haut clique sur Outils choisis Option des dossiers
* Sélectionne l'onglet Affichage
-- [X] Coche Afficher les Fichiers et dossiers cachés
-- [ ] Décoche Masquer les fichiers protégés du système d'exploitation
-- [ ] Décoche Masquer les extensions dont le type est connu
* clique succesivement sur
-- En haut Appliquer à tous les dossiers
-- En bas Appliquer et Ok pour valider les changements
* Ferme la fenêtre
=> Recherche et supprime ce fichier
| Citation: |
| C:\WINDOWS\System32\pmnlk.dll |
=> Redémarre en mode normal
Post un nouveau log en espérant que cette fois ca soit la bonne. |
|
| Revenir en haut de page |
|
|
raspilou1
Inscrit le: 26 Nov 2005
Messages: 94
|
| Posté le: 09 Déc 2006 à 22:48 Sujet du message: |
|
|
| un probleme quand je veux supprimer le fichier un message me dit que c est impossible et que ce fichier doit etre utilise par un programme |
|
| Revenir en haut de page |
|
|
Ajouter à : 
|
|
Ce que nous vous conseillons :
