Se connecter avec
S'enregistrer | Connectez-vous

Probleme avec sasser

Dernière réponse : dans Sécurité

Bonjour a vous, j'éspére ne pas posé une question deja posé, je vous explique mon probleme:
J'ai un message d'erreur qui m'indique que mon pc redémare dans 1 min, apres plusieur recherche j'ai compris que cela vener surment de "Sasser" j'ai donc employé les moyens necessaire pour le viré, j'ai fini par reformaté, une fois, deux fois, trois fois...
Bref, apres reflexion avec un ami nous pensons que le virus Sasser n'est pas installé sur mon disque dur, car aucun anti-sasser ne le trouve et a chaque reformatage il revient directement.
Je commence a découragé ... Si quelqun pouvais m'aider ... :-( .
Merci d'avance .
;-)

Autres pages sur : probleme sasser

Lassé par la pub ? Créez un compte

Merci a vous de répondre si vite.
Je vais fair un hijackthis, sinon j'ai utilisé FxSasser.exe pour le trouver
j'ai aussi installé avast pour me protégé mais il m'indique que je reçoit plein de message, je suis désolé je ne comprend pas tres bien les adress son :
Expéditeur : "iohoyxt" <iohoyxt@euroele.com>
zlhkzaetc" <zlhkzaetc@csfbconnect.com>
Citation :

dryden a écrit :
conseil, installer le service pack avant la connection internet

Désolé de ne pas répondre plus tot mais mon pc a redémaré :/ 
Bref avast m'indique que plein de trojan s'install dans c: :-(
Logfile of HijackThis v1.99.1
Scan saved at 00:12:02, on 27/05/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINNT\system32\netbtd.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\tcukckmn.exe
C:\WINNT\system32\0mcamcap.exe
C:\WINNT\system32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\solitaire.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\link\Mes documents\Téléchargements\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SysTray] C:\Program Files\tcukckmn.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINNT\system32\0mcamcap.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINNT\system32\0mcamcap.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [0mcamcap] C:\WINNT\system32\0mcamcap.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O20 - Winlogon Notify: xdudtt - C:\WINNT\SYSTEM32\xdudtt.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [0mcamcap] C:\WINNT\system32\0mcamcap.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINNT\system32\0mcamcap.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINNT\system32\0mcamcap.exe


Redémarre en mode sans échec, (en tapotant F8 au démarrage).
Assures-toi que tu as accès aux fichiers cachés.
-Explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché
"Masquer les fichiers protégers du système"->décoché

Supprimes manuellement les fichiers suivants:
C:\WINNT\system32\0mcamcap.exe

Vide ta corbeille.
Redémarre ton pc.


Citation d angeldark
Haxfix.exe
Sauvegarde le sur ton bureau
----------

* Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
* Cocher "Create a desktop icon"
* Cliquer "Next"
* Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
* Cliquer "Finish"


Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
4. Run wnlogow fix (lancer la réparation pour wnlogow)
E. Exit Haxfix (quitter Haxfix)

  • Selectionne l'option 3, Run manual fix en tapant 3 puis "Entrée"

    Ce message apparait:

    Citation:

    echo Insert the haxdoorkey,
    and then press Enter:



  • Tape ceci : xdudtt
    Puis appuyer sur "Entrée".

    Si l'infection est identifiée, tu verras un message te demandant de fermer toutes les fenêtres ("Close all windows").
    Ferme les toutes, sauf la fenêtre DOS avec fond rouge (l'outil), et appuie sur "Entrer".
    Ton PC va redémarrer.
    Après le redémarrage, poste (copie/colle) le contenu du rapport, situé ici : C:\haxfix.txt
    ----------
  • Redémarre en mode sans échec.
    /!\ Tu n'as pas accès à Internet dans ce mode, note bien les instructions /!\

    1.1/Spybot-Search & Destroy

    Telecharge le sur ce site:
    www.infos-du-net.com/telecharger/Spybot-Search-Destroy....
    Fais les mise a jour.
    Fais un scan et supprime toutes les menaces detecter.

    1.2/Ad-Aware

    Telecharge le sur ce site:
    www.infos-du-net.com/telecharger/Ad-aware-SE-Personal.h...
    Fais les mise a jour.
    Fais un scan supprimes toutes les menaces detecter.

    2/Nettoyer le disque dur :( pas obligatoire)

    2.1/CCleaner

    Telecharge ccleaner sur ce site:
    www.infos-du-net.com/telecharger/CCleaner.html
    Il nettoie ton ordi de tout les fichiers temporaires inutiles.
    Fais une analyse puis lance le nettoyage.

    3/Ewido

    Telecharge ewido sur ce site:
    www.infos-du-net.com/telecharger/Ewido-Anti-Malware.htm...
    Fais les mise a jour puis fais un scan et post le rapport

    Alors ...
    J'ai utilisé Haxfix.exe mais il n'a rien trouvé...
    Sinon voila le rapport :
    ---------------------------------------------------------
    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 00:59:40, 27/05/2006
    + Somme de contrôle: FCCB51

    + Résultats du scan:

    C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\4PYNWPQN\ezutr[1].txt -> Trojan.Sinowal.q : Nettoyer et sauvegarder
    C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\4PYNWPQN\vzhtbmy[1].txt -> Not-A-Virus.Hoax.Win32.Renos.dc : Nettoyer et sauvegarder
    C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\SHUJ09UF\runfile[1].exe -> Hijacker.Small.cc : Nettoyer et sauvegarder
    C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\SLIFG9YF\cvamiscm[1].txt -> Proxy.Small.bo : Nettoyer et sauvegarder
    C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\SLIFG9YF\cyqpxwhrks[1].txt -> Downloader.Tiny.ap : Nettoyer et sauvegarder
    C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\W12NOLEJ\gbwvuf[1].txt -> Hijacker.Small.kr : Nettoyer et sauvegarder
    C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\W12NOLEJ\krab02[1].exe -> Dropper.Agent.ol : Nettoyer et sauvegarder
    C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\W12NOLEJ\lgkwvd[1].txt -> Backdoor.Haxdoor.iw : Nettoyer et sauvegarder
    C:\Program Files\tcukckmn.exe -> Not-A-Virus.Hoax.Win32.Renos.dc : Nettoyer et sauvegarder
    C:\vyiop.exe -> Backdoor.Haxdoor.iw : Nettoyer et sauvegarder
    C:\WINNT\system32\netbtd.exe -> Backdoor.SdBot.aoz : Nettoyer et sauvegarder
    C:\WINNT\system32\TheMatrixHasYou.exe -> Proxy.Small.bo : Nettoyer et sauvegarder
    C:\xfqpshmu.exe -> Proxy.Small.bo : Nettoyer et sauvegarder


    ::Fin du rapport

    Pour le moment non, le probleme c'est que le message d'alerte de sasser vient vraiment aléatoirement ...
    Mais j'ai plein de .exe dans C: , et j'ai aussi cette page internet "C:\secure32.html" qui revient a chaque fois d'ailleur je retrouve ce document HTML dans c: au nom de "secure32".

    1/ Télécharge Smitfraudfix
    siri.urz.free.fr/Fix/SmitfraudFix.php
    Dézippe-le sur le Bureau.
    Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
    Choisis l'Option 1 (Recherche)
    Si tu vois des lignes avec PRESENT! Continue

    2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)

    Relance SmitfraudFix et choisis cette fois l’Option 2 et réponds oui à chaque question
    Sauvegarde puis poste le rapport.

    3/ Poste un rapport Hijackthis

    Voici le rapport de SmitFraudFix :

    SmitFraudFix v2.48

    Rapport fait à 1:34:05,18, sam. 27/05/2006
    Executé à partir de C:\Documents and Settings\link\Bureau\SmitfraudFix
    OS: Microsoft Windows 2000 [Version 5.00.2195]
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\uniq supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Et le rapport de HijackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 01:46:34, on 27/05/2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\csrss.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\ewido anti-malware\ewidoguard.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\RUNDLL32.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINNT\system32\NOTEPAD.EXE
    C:\Documents and Settings\link\Mes documents\Téléchargements\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
    O20 - Winlogon Notify: xdudtt - C:\WINNT\SYSTEM32\xdudtt.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
    O23 - Service: NetBTD(ntbtd) (NetBTD) - Unknown owner - C:\WINNT\system32\netbtd.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

    Lassé par la pub ? Créez un compte

    Créer un nouveau sujet

    Tom's guide dans le monde