DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 27 Nov 2024 à 13:03 FAQ | Rechercher | Membres | Groupes

[Résolu] Un ver, au s'cours !


Aller à la page 1, 2, 3  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Windows
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
Chip6



Inscrit le: 12 Déc 2005
Messages: 17

MessagePosté le: 12 Déc 2005 à 14:20    Sujet du message: [Résolu] Un ver, au s'cours ! Répondre en citant

Bon bah voilà, je suis infectée par un ver... Alors après plusieurs manip (installé la nouvelle version de Norton, installer un 'vrai' firewall = ZoneAlarm, et fait un scan de tout ça) il me reste un nommé "shost.exe" que norton a pas réussi à virer. J'ai parcouru un peu le forum pour savoir comment faire, et du coup j'ai installé le logiciel HijackThis pour pouvoir vous filez les infos, en espérant que quelqu'un m'aide Sad

[LOG DELETED]


Walà le rapport HijackThis, je fais quoi maintenant ? Merci mille fois d'avance :sage: 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Chip6



Inscrit le: 12 Déc 2005
Messages: 17

MessagePosté le: 12 Déc 2005 à 14:21    Sujet du message: Répondre en citant

Ah j'ai oublié de dire que j'ai Windows XP, au cas où c'est important :snif: (et que je suis pas super douée en informatique, aussi Exclamation 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
3dmin
Administrateur


Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels

MessagePosté le: 12 Déc 2005 à 15:30    Sujet du message: Re: Un ver, au s'cours ! Répondre en citant

Chip6 a écrit:
installé la nouvelle version de Norton

La passeoire...



Chip6 a écrit:
installer un 'vrai' firewall = ZoneAlarm


Ok, effectivement t'as choisis un 'vrai'.


Chip6 a écrit:
il me reste un nommé "shost.exe" que norton a pas réussi à virer.


YODO WORM! Belle Pioche... et vive Norton, pfff quelle passeoire ce prog...


Chip6 a écrit:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)


Il faut mettre à jour si tu veux être protègé. Tu n'a pas de SP1 tu n'as pas de SP2 et encore moins le SP2 pour IE6 !!!



Pour ce qui concerne ton SHOST.EXE, je ne l'ai pas vu dans les processus en cours. Ce qui veux dire qu'il n'est pas démarré. ou alors sous un autre nom.
Par contre voiçi la commande survivante de ce salopiau
Code:
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

Le fichier est supprimé, ou alors les cases ne sont pas respectées (maj/min). donc regarde si tu le toruve dans C:\Windows, si oui efface-le...


Alors dans ton log voiçi quelques lignes à vérifier :
Code:
O4 - HKLM\..\Run: [Network Host Service] yvrokkn32.exe
O4 - HKLM\..\Run: [Windowsz] rwnt.exe
O4 - HKLM\..\RunServices: [Network Host Service] yvrokkn32.exe
O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe

O20 - Winlogon Notify: nnnkj - C:\WINDOWS\System32\nnnkj.dll
O20 - Winlogon Notify: rqoml - C:\WINDOWS\SYSTEM32\rqoml.dll


Ces lignes ne me semblent pas vraiment très catholiques... - 5 min plus tard - En fait ce sont des vers, je viens de faire une recherche sur le net...

Tu est bien vérollé ! Smile

Pas étonnant vu que ton système n'a plus été mis à jour depuis 5 ans au moins vu que t'as même pas le SP1.

Ca signifie donc que tu est vulnérable à une bonne centaines de failles... ce qui signifie que le FW et l'A-V ne pourront pas faire grand chose façe aux bons vieu virus ou vers...

Je te conseille de faire tourner Silent Runners (clique droit et "enregistrer sous...") et de nous coller le résultat ci dessous afin qu'on puisse voir en détail si tu n'est pas plus infecté que ce que HijackThis le dis.

Voilà pour commencer, préparre-toi à un bon coup de nétoyage et commence déja à télécharger (pas encore installer, juste télécharger) les services pack 1 et 2.
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010

"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 12 Déc 2005 à 16:14    Sujet du message: Répondre en citant

Puis, tu installes ad-aware, et spybot. Tu les mets à jour et tu les passe en mode sans échec.
Penses aussi à mettre ton système !!! Le SP2 est une grande mise à jour ...
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
Chip6



Inscrit le: 12 Déc 2005
Messages: 17

MessagePosté le: 12 Déc 2005 à 18:31    Sujet du message: Répondre en citant

Ah oui j'ai oublié de vous dire que j'ai dû formater mon pc pour de sombres raisons d'incompétence de hot line Mad et donc je pense que ça explique que je n'ai plus SP2. Par contre pour IE je ne l'utilise pas, j'utilise FireFox, vos recommandations sont quand même valables ? :sage:  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Chip6



Inscrit le: 12 Déc 2005
Messages: 17

MessagePosté le: 12 Déc 2005 à 18:31    Sujet du message: Répondre en citant

[LOG DELETED]



Voilà pour SilentRunner :sage: 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Chip6



Inscrit le: 12 Déc 2005
Messages: 17

MessagePosté le: 12 Déc 2005 à 18:43    Sujet du message: Répondre en citant

Au fait, tu me conseilles quoi comme anti-virus alors, si Norton est une vraie passoire ? Autour de moi ils ne jurent que par ça alors Question  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
mickael44
Administrateur


Inscrit le: 05 Juin 2005
Messages: 5837
Localisation: Rennes / Ille Et Vilaine

MessagePosté le: 12 Déc 2005 à 19:54    Sujet du message: Répondre en citant

Chip6 a écrit:
Autour de moi ils ne jurent que par ça alors Question


Mon dieux, aujourd'hui on ne jure que sur des co**eries... ^^

En antivirus, je te conseille Kaspersky qui est pour moi le meilleur et Bit Defender. Je n'ai pas testé Bit Defender mais je n'en ai entendu que des bons échos!

Voila ! 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 12 Déc 2005 à 21:09    Sujet du message: Répondre en citant

he bien... certaines de ces cochonneries sont pourtant anciennes, norton est encore plus mauvais que ce que je pensais.

salut 3dmin,
je surveille la question et si besoin je reviendrais donner un coup de pouce.

Au passage chip6 tu peux prévenir tes contacts MSN ou figurant dans le carnet d'adresse qu'il fasse une analyse antivirus surtout s'ils se croient protégé par Nordob... euh norton 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
3dmin
Administrateur


Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels

MessagePosté le: 13 Déc 2005 à 2:22    Sujet du message: Répondre en citant

Chip6 a écrit:
Au fait, tu me conseilles quoi comme anti-virus alors, si Norton est une vraie passoire ? Autour de moi ils ne jurent que par ça alors Question


Kaspersky est sans conteste "le conseillé" bien que pour ma part je le trouve encore un peu trop gourmand (je travaille avec des petites configs et peu de ram).
Donc j'utilise F-Prot (Frisk Software), qui me convient parfaitement...

Laurent a écrit:
salut 3dmin,
je surveille la question et si besoin je reviendrais donner un coup de pouce.


Ouais, ceci dit il ne faut pas hésiter à corriger si le log est là Smile (entre-nous, je savais que si tu passais tu le demanderais; j'anticipe, histoire de rendre les choses plus rapides...)

Comme tu peux constatter, des fois, j'arrive pas a respecter les horraires que je me suis donné.

De plus tu fait ça merveilleusement, j'ai rien à redire Smile


Chip,
Pour toi on reprendra demain, je vais aller me coucher, il se fait tard et demain boulot Confused
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010

"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 13 Déc 2005 à 6:48    Sujet du message: Répondre en citant

Je passerais ce soir donner une procédure

attention avec ca
O20 - Winlogon Notify: nnnkj - C:\WINDOWS\System32\nnnkj.dll
O20 - Winlogon Notify: rqoml - C:\WINDOWS\SYSTEM32\rqoml.dll
et les deux BHO (lignes 02) qui vont avec à ne pas fixer de suite avec hijackthis sinon on risque de passer du temps à courir apres
il faudra utiliser Vundofix 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Chip6



Inscrit le: 12 Déc 2005
Messages: 17

MessagePosté le: 13 Déc 2005 à 12:03    Sujet du message: Répondre en citant

3dmin a écrit:
Kaspersky est sans conteste "le conseillé" bien que pour ma part je le trouve encore un peu trop gourmand (je travaille avec des petites configs et peu de ram).
Donc j'utilise F-Prot (Frisk Software), qui me convient parfaitement...


Ok, je viens de télécharger les deux, reste à savoir lequel il vaut mieux que j'installe Razz

3dmin a écrit:
Chip,
Pour toi on reprendra demain, je vais aller me coucher, il se fait tard et demain boulot Confused


Pas de souci, et merci encore trois mille fois de votre coup de main à tous :sage: 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 13 Déc 2005 à 20:34    Sujet du message: Répondre en citant

Je te conseil d'installer kaspersky 5.0 personal pro, que je trouve plus puissant que bit defender 8.0 (pas tester la 9.0)
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 13 Déc 2005 à 21:04    Sujet du message: Répondre en citant

Apres plus mure recherche je crois que la "classique" suffira

=====================================================

Pour simplifier les suppression de fichier et les eventuelles erreur j'ai préparé ca qui facilitera grandement la tache et les recherches

ouvre le bloc note

demarrer tous les programmes accessoires blocnotes

fais un copier coller de ce texte
Citation:
@ECHO off
set savepath=%CD%
cd %savepath%
if exist "C:\WINDOWS\System32\nnnkj.dll" echo "C:\WINDOWS\System32\nnnkj.dll" present>>rapport.txt
if exist "C:\WINDOWS\System32\yvrokkn32.exe" echo "C:\WINDOWS\System32\yvrokkn32.exe" present>>rapport.txt
if exist "C:\WINDOWS\fyvrokkn32.exe" echo "C:\WINDOWS\yvrokkn32.exe" present>>rapport.txt
if exist "C:\WINDOWS\system32\rwnt.exe" echo "C:\WINDOWS\system32\rwnt.exe" present>>rapport.txt
if exist "C:\WINDOWS\rwnt.exe" echo "C:\WINDOWS\rwnt.exe" present>>rapport.txt
if exist "C:\WINDOWS\System32\nnnkj.dll" echo "C:\WINDOWS\System32\nnnkj.dll" present>>rapport.txt
if exist "C:\WINDOWS\SYSTEM32\rqoml.dll" echo "C:\WINDOWS\SYSTEM32\rqoml.dll" present>>rapport.txt
if not exist "C:\WINDOWS\System32\nnnkj.dll" echo "C:\WINDOWS\System32\nnnkj.dll" non trouve>>rapport.txt
if not exist "C:\WINDOWS\System32\yvrokkn32.exe" echo "C:\WINDOWS\System32\yvrokkn32.exe" non trouve>>rapport.txt
if not exist "C:\WINDOWS\fyvrokkn32.exe" echo "C:\WINDOWS\yvrokkn32.exe" non trouve>>rapport.txt
if not exist "C:\WINDOWS\system32\rwnt.exe" echo "C:\WINDOWS\system32\rwnt.exe" non trouve>>rapport.txt
if not exist "C:\WINDOWS\rwnt.exe" echo "C:\WINDOWS\rwnt.exe" non trouve>>rapport.txt
if not exist "C:\WINDOWS\System32\nnnkj.dll" echo "C:\WINDOWS\System32\nnnkj.dll" non trouve>>rapport.txt
if not exist "C:\WINDOWS\SYSTEM32\rqoml.dll" echo "C:\WINDOWS\SYSTEM32\rqoml.dll" non trouve>>rapport.txt
if exist "C:\WINDOWS\System32\nnnkj.dll" ATTRIB -h -s -a -r "C:\WINDOWS\System32\nnnkj.dll"
if exist "C:\WINDOWS\System32\yvrokkn32.exe" ATTRIB -h -s -a -r "C:\WINDOWS\System32\yvrokkn32.exe"
if exist "C:\WINDOWS\fyvrokkn32.exe" ATTRIB -h -s -a -r "C:\WINDOWS\yvrokkn32.exe"
if exist "C:\WINDOWS\system32\rwnt.exe" ATTRIB -h -s -a -r "C:\WINDOWS\system32\rwnt.exe"
if exist "C:\WINDOWS\rwnt.exe" ATTRIB -h -s -a -r "C:\WINDOWS\rwnt.exe"
if exist "C:\WINDOWS\System32\nnnkj.dll" ATTRIB -h -s -a -r "C:\WINDOWS\System32\nnnkj.dll"
if exist "C:\WINDOWS\SYSTEM32\rqoml.dll" ATTRIB -h -s -a -r "C:\WINDOWS\SYSTEM32\rqoml.dll"
if exist "C:\WINDOWS\System32\nnnkj.dll" del /q /f /a +h +s +a +r "C:\WINDOWS\System32\nnnkj.dll"
if exist "C:\WINDOWS\system32\yvrokkn32.exe" del /q /f /a +h +s +a +r "C:\WINDOWS\system32\yvrokkn32.exe
if exist "C:\WINDOWS\yvrokkn32.exe" del /q /f /a +h +s +a +r "C:\WINDOWS\yvrokkn32.exe"
if exist "C:\WINDOWS\system32\rwnt.exe" del /q /f /a +h +s +a +r "C:\WINDOWS\system32\rwnt.exe"
if exist "C:\WINDOWS\rwnt.exe" del /q /f /a +h +s +a +r "C:\WINDOWS\rwnt.exe"
if exist "C:\WINDOWS\SYSTEM32\rqoml.dll" del /q /f /a +h +s +a +r "C:\WINDOWS\SYSTEM32\rqoml.dll"
if exist "C:\WINDOWS\System32\nnnkj.dll" del /q /f /a +h +s +a +r "C:\WINDOWS\System32\nnnkj.dll"
if exist "C:\WINDOWS\System32\nnnkj.dll" echo "C:\WINDOWS\System32\nnnkj.dll" erreur suppression>>rapport.txt
if exist "C:\WINDOWS\System32\yvrokkn32.exe" echo "C:\WINDOWS\System32\yvrokkn32.exe" erreur suppression>>rapport.txt
if exist "C:\WINDOWS\fyvrokkn32.exe" echo "C:\WINDOWS\yvrokkn32.exe" erreur suppression>>rapport.txt
if exist "C:\WINDOWS\system32\rwnt.exe" echo "C:\WINDOWS\system32\rwnt.exe" erreur suppression>>rapport.txt
if exist "C:\WINDOWS\rwnt.exe" echo "C:\WINDOWS\rwnt.exe" erreur suppression>>rapport.txt
if exist "C:\WINDOWS\System32\nnnkj.dll" echo "C:\WINDOWS\System32\nnnkj.dll" erreur suppression>>rapport.txt
if exist "C:\WINDOWS\SYSTEM32\rqoml.dll" echo "C:\WINDOWS\SYSTEM32\rqoml.dll" erreur suppression>>rapport.txt
exit


enregistre le fichier ou il te sera facile de le retrouver en mode sans echec en le nommant suppression
ensuite renomme ce fichier (clique droit choisis renommer) suppression.bat

====================================================

redemarre en mode sans echec imperatif !!

relance hijackthis et coche ces lignes

O2 - BHO: ATLDistrib Object - {3FE36807-69ED-45D1-B9BE-85C0E3F75B6A} - C:\WINDOWS\System32\nnnkj.dll
O4 - HKLM\..\Run: [Network Host Service] yvrokkn32.exe
O4 - HKLM\..\Run: [Windowsz] rwnt.exe
O4 - HKLM\..\RunServices: [Network Host Service] yvrokkn32.exe
O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe
O20 - Winlogon Notify: nnnkj - C:\WINDOWS\System32\nnnkj.dll
O20 - Winlogon Notify: rqoml - C:\WINDOWS\SYSTEM32\rqoml.dll

clique sur fixer objet

demarrer executer tape services.msc
recherche dans la liste

Service Hosts
double clique dessus et a type de demarrage choisis desactive

doubleclique sur le fichier suppression.bat

redemarre


un fichier texte nommé rapport.txt sera present dans le meme dossier ou tu as lancé le fichier suppression.bat,
fais un copier coller de son contenu dans ta prochaine reponse en incluant un nouveau log hijackthis


==================================================
Pour info ce fichier batch comprend pour chacun des fichiers a supprimer
une requete pour verifier sa presence
une requette pour modifier ses attributs
une requete de suppression (forcée en mode silencieux)
une requete de controle afin de s'assurer de la suppression des fichiers 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Chip6



Inscrit le: 12 Déc 2005
Messages: 17

MessagePosté le: 14 Déc 2005 à 12:06    Sujet du message: Répondre en citant

Alors, j'ai fini par installer Kaspersky dernière version, qui m'a trouvé un cheval de troie dans un truc appelé rqoml.dll Confused

Là je viens de suivre toute ta procédure à la lettre, sauf que je n'ai pas de document rapport.txt nulle part :snif: Ah oui et dans la liste hijackthis dans le mode sans échec, à la place de la ligne

O20-Winlogon Notify:rqoml-C:\WINDOWS\System32\rqoml.dll

Moi j'avais :

O20-Winlogon Notify:rqoml-rqoml.dll (file missing)

Enfin j'ai quand même coché comme tu as dit Embarassed

Bon bref, donc je te copie mon log hijackthis sans le fichier rapport.txt que je n'ai pas.

[LOG DELETED]

Walà :sage: 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Windows Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2, 3  Suivante 
Page 1 sur 3 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum