Salut les pros,
 
J'ai besoin de vos compétences pour désinfecter le PC de mon frère (Windows 2000 Pro).
 
Comme je n'ai pas le PC sous la main, l'assistance à distance n'est pas efficace (surtout par téléphone.. ça coûte cher sur un portable ) . Mais comme j'y vais demain j'aimerais pouvoir le dépanner rapidement (c'est son anniversaire donc je n'aimerais pas passer la soirée à chercher une solution...).
 
Alors voilà ce qui se passe :  
 
Après avoir fait un nettoyage du PC (scan complet avec Kaspersky, Ewido, Ccleaner, Spybot, et je crois que c'est tout) qui s'est avéré être propre, il a redémarré. Là, Kaspersky s'est affolé sur un fichier nommé sirhOt-changes-ur-hostfile.bat (à la racine de C:\) qui était infecté par trojan.BAT.zapchast. Kaspersky a bien voulu le nettoyer mais a demandé un redémarrage. Malheureusement, le fichier revenait sans cesse. Je lui ai alors conseillé de le virer en mode sans échec. Il semble que ce soit bon mais ce n'est vraiment pas sûr.
 
Je lui ai fait faire un log Hijackthis, en espérant que ça vous aide.
 
Logfile of HijackThis v1.99.1
Scan saved at 19:39:12, on 16/11/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\hkcmd.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\MSN Messenger\MSN Plus !3\MsgPlus.exe
C:\WINNT\system32\udzou.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\PopTray\PopTray.exe
C:\Program Files\TribalWeb.net\tribalweb.exe
C:\Documents and Settings\Gregory\Bureau\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MSN Messenger\MSN Plus !3\MsgPlus.exe"
O4 - HKLM\..\Run: [udzok] udzou.exe
O4 - HKLM\..\RunServices: [udzok] udzou.exe
O4 - HKCU\..\Run: [udzok] udzou.exe
O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
O4 - Startup: TribalWeb.net.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir le fichier PDF dans Word - res://C:\Program Files\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /300
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 9590479674
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: 04302 - Unknown owner - \\88.162.118.36\Admin$\eraseme_11027.exe (file missing)
O23 - Service: 20341 - Unknown owner - \\88.162.118.36\Admin$\eraseme_84746.exe (file missing)
O23 - Service: 21138 - Unknown owner - \\88.162.118.36\Admin$\eraseme_43040.exe (file missing)
O23 - Service: 28543 - Unknown owner - \\88.162.118.36\Admin$\eraseme_83744.exe (file missing)
O23 - Service: 31813 - Unknown owner - \\88.162.118.36\Admin$\eraseme_52182.exe (file missing)
O23 - Service: 32434 - Unknown owner - \\88.162.118.36\Admin$\eraseme_30052.exe (file missing)
O23 - Service: 48424 - Unknown owner - \\88.162.118.36\Admin$\eraseme_68557.exe (file missing)
O23 - Service: 51304 - Unknown owner - \\88.162.118.36\Admin$\eraseme_14778.exe (file missing)
O23 - Service: 61173 - Unknown owner - \\88.162.118.36\Admin$\eraseme_71742.exe (file missing)
O23 - Service: 64227 - Unknown owner - \\88.162.118.36\Admin$\eraseme_24334.exe (file missing)
O23 - Service: 77104 - Unknown owner - \\88.162.118.36\Admin$\eraseme_54055.exe (file missing)
O23 - Service: 78052 - Unknown owner - \\88.162.118.36\Admin$\eraseme_84782.exe (file missing)
O23 - Service: 85174 - Unknown owner - \\88.162.118.36\Admin$\eraseme_16740.exe (file missing)
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
 
 
 
Il y a quelques semaines, il avait aussi un problème avec eraseme mais je ne sais pas si c'est réglé ou pas... pas eu le temps de lui demander.
 
Merci d'avance à celui qui pourra m'aider.
 
PS : Premier topic crée (hors section privée) après 5812 posts !

Bonsoir,
 
C'est le deuxième modo qui passe par là
 
Première fois que je vois des services comme ça.
 

 
Je vais voir ça avec d'autres helpers.

Et oui, après Xtelle, c'est moi ! D'habitude, je me débrouille tout seul mais là, j'ai lu que Zapchast avait un niveau de risque élevé et comme je n'aurais pas trop de temps demain pour faire les manip', je préfère avoir les avis de pros.
 
Merci AngelDark pour ton aide, c'est sympa !

Ca par contre ca sera à virer

Directement avec Hijackthis ou msconfig (enfin comme il n'y a pas ça sur 2000, j'utilise les options de Ccleaner...) ?

Je te dirai quoi faire quand j'aurai la réponse sur les 023.

Ok merci beaucoup.  

Malheureusement, après confirmation, on ne peut rien faire.
La solution est le format c:.
 
Plusieurs conseils s'il ne veut pas se faire ré-infecter :
 
1/ Mettre sur CD/USB... un firewall et antivirus !
2/ Formater
3/ COUPER LE CONNECTION A INTERNET !
4/ Installer antivirus+firewall
5/ Mettre à jour les logiciels+Windows !
 
La personne me l'ayant indiqué est de confiance.
Vraiment désolé.
 
 

Angeldark, tu sais que c'est une super mauvaise nouvelle que tu me donnes là ??? Je suis au bord du désespoir...
 
Quelques questions histoires de faire ça au mieux :  
 
- Av et pare-feu sur clé USB : je dois me trouver des versions portables ou juste les .exe pour installer ?? Quelles versions me conseilles-tu (gratuit ou payant, ça me va) ?
 
- AV encore : avant de connecter pour faire les MAJ, est-il possible de télécharger les MAJ de chez moi pour lui mettre chez lui ? je sais que Kaspersky le fait mais c'est au cas où tu me conseillerais autre chose.
 
- AV encore : je lui avais installé KIS. Est-ce bon ou est-il préférable de mettre KAV et KAH ? ou KAV et un autre pare-feu ?
 
- Qu'est ce qui fait que le formatage est obligatoire ? eraseme ou zapchast ? pourquoi ? Désolé pour ces questions mais j'aurais droit à la question demain donc je préfère savoir quoi répondre...
 
-Le fait de mettre la freebox en mode routeur peut-il apporter un truc en plus niveau sécurité ?
 
Et puis ben c'est parti pour un formatage... j'en connais un qui va gueuler    !
 
Merci Angeldark pour cette aide et remercie aussi ton contact pour les précisions. C'est vraiment appréciable d'avoir une aide spontanée et efficace.

Re,
 

Vraiment désolé
 

KIS suffit puisqu'il fait AV + firewall.
Juste l'.exe ou le CD d'install.
Pour les MAJ, fait les via KIS
 

Oui. Mais si tu as KIS c'est bon.
 
Je suis toujours là pour d'autres questions.

Ok, je te remercie sincèrement pour tes réponses. D'autres questions viendront sûrement par la suite.

Pas de problème.

Une petite remontée de topic pour dire qu'après formatage et réinstallation tout est bon. Scan KAV et ewido clean !
 
Encore merci Angeldark !

Salut,
 
Mauvaises nouvelles Angeldark.....
 
Eraseme est de retour... Fais chier !
 
Je viens de lui faire faire un log Hijackthis que voilà :
 
Logfile of HijackThis v1.99.1
Scan saved at 18:43:21, on 14/12/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\MSN Messenger\Msg Plus 3\MsgPlus.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\PopTray\PopTray.exe
C:\Documents and Settings\Gregory\Bureau\Hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MSN Messenger\Msg Plus 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir le fichier PDF dans Word - res://C:\Program Files\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /300
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 4045916783
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: 60604 - Unknown owner - \\88.162.118.36\Admin$\eraseme_52457.exe (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
 
 
Et en ce moment même, un scan online sur le site de panda est en cours....
 
Voilà, dis moi que ce coup-ci, son PC a une chance de survie....
 
 
Si tu veux d'autres infos, je peux aller voir directement sur son Pc pour voir (VNC ).
 
Merci d'avance.

Bonsoir,
 
Ca va être compliqué.
Encore ce sevice
O23 - Service: 60604 - Unknown owner - \\88.162.118.36\Admin$\eraseme_52457.exe (file missing)  
 
Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
Clique sur le premier " Download " afin de télécharger le programme
Sauvegarde le sur ton Bureau
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next.
 
A la fin du scan, NE TOUCHE A RIEN !
 
Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Nous devons analyser ce rapport, ferme donc le BlackLight.
 
Poste le rapport sur le forum.
 
AIDE : Tuto sur BlackLight (Malekal)