[Résolu]Pb de virus ...

Marsh Posté le 06-12-2006 à 16:19:35

Voilà j'ai un virus qui ressemble méchamment à W32/Blaster mais qui ne l'est pas.

C'est à dire :

J'ai une fenêtre Arrêt du système avec un compte à rebours qui se déclenche et qui redémarre mon pc.

J'ai donc passé FixBlast, mais il ne trouve rien.
J'ai installé la mise à jour de sécurité de Microsoft, mais cela ne change rien.
J'ai vérifié les procédures manuelles de désinfection mais les entrées de la base de registres qui correspondent à Blaster n'y sont pas.

Donc pour l'instant je vit avec en retardant l'holorge windows (comme avec Blaster ...)

Que peut-ce être ?

Je ne peux malheureusement pas vous faire de screen car le copier/coller ne fonctionne pas.

Je vous recopie donc le charmant petit texte que contient la fenêtre.

Citation :

Arrête du système. Veuillez enregistrer tousles travaux en cours et quitte votre session.
Toutes les modifications non enregistrées seront perdues. Cet arrêt a été initié par AUTORITE NT\SYSTEM.

Temps restant avant l'arrêt du système : 00:00:59

Message
Le processus système 'C:\WINNT\system32\services.exe' s'est terminé de manière inattendue avec le code d'état 128.
Le système va maintenant s'éteindre et redémarrer.

Je suis sous Windows 2000.

Message édité par Opera140 le 11-12-2006 à 09:59:52

Reply

Marsh Posté le 06-12-2006 à 16:19:35

Reply

Marsh Posté le 06-12-2006 à 16:26:41

Voici le log Hijackthis :

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 16:24:29, on 05/12/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\system32\ctfmon32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNT\system32\lemsrv.exe
C:\Program Files\Opera\Opera.exe
C:\Documents and Settings\Administrateur\Bureau\sassgui.com
C:\Documents and Settings\Administrateur\Bureau\zlsSetup_65_737_000_fr.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\GLB66.tmp
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 19.6.76.12 dlx
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [User Input Services] C:\WINNT\system32\ctfmon32.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LEMSRV] C:\WINNT\system32\lemsrv.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Program Files\Apache Software Foundation\Tomcat 5.0\bin\tomcat5.exe" //RS//Tomcat5 (file missing)

Reply

Marsh Posté le 08-12-2006 à 15:17:10

Salut,

Ce virus est passableemnt nouveau et n'est pas reconnu par tous les anti-virus(voir http://virusscan.jotti.org ou http://www.virustotal.com).
tu a besoin de supprimer HKLM\software\Microsoft\windows\Current Version\Run\LEMSRV.exe
et ces fichiers
c:\U.exe(if exist)
c:\windows\system32\lemsrv.exe
c:\windows\prefetch\lem*.*
c:\windows\prefetch\u*.*(if exist)
and clean your temporary internet files(everywhere it can be)

Et fait tes Windows Updates ASAP
P.S. tu peux mettre lemsrv.exe dans les regles de ton anti-virus actuel pour qu'il ne revienne pas immédiatement mais ce n'est pas une solution permanente à envisager

Pour les anglophones maintenant(en espérant qu'ils comprendront ce que j'écris)
Hi,

this virus is recent and not been recongnized by every anti-virus(see virusscan.jotti.org or www.virustotal.com).
you have to delete HKLM\software\Microsoft\windows\Current Version\Run\LEMSRV.exe
and theses files
c:\U.exe(if exist)
c:\windows\system32\lemsrv.exe
c:\windows\prefetch\lem*.*
c:\windows\prefetch\u*.*(if exist)
and clean your temporary internet files(everywhere it can be)

And do your windows updates as soon as possible
P.S. you can put a rule in your anti-vurus to ensure lemsrv.exe will not return during windows Update but it cannot be set as a permenent solution.

Message édité par speedy80 le 08-12-2006 à 16:52:47

Reply

Marsh Posté le 08-12-2006 à 17:21:49

Hi, following the unidentified threat we just had (LEMSRV.EXE), McAfee will release a new regular dat file. The suspicious file is just a new variant of Sdbot worm.
you can submit you infected file on webimmune.net

Bonjour !
C une nouvelle variante de Sdbot et Mcafee vas sortir un dat file qui vas le detecter et vous pouvez soumettre vos fichier infecte sur webimmune.net

Reply

Marsh Posté le 11-12-2006 à 10:00:35

Merci pour ton aide speedy
Tout va mieux maintenant.

Reply

Marsh Posté le 14-12-2006 à 10:23:25

bonjour a tous, j'ai eu ce message hier soir, juste 1 fois (windows XP Familier sp2)
(Arrête du système. Veuillez enregistrer tousles travaux en cours et quitte votre session.
Toutes les modifications non enregistrées seront perdues. Cet arrêt a été initié par AUTORITE NT\SYSTEM.

Temps restant avant l'arrêt du système : 00:00:59

Message
Le processus système 'C:\WINNT\system32\services.exe' s'est terminé de manière inattendue avec le code d'état 128.
Le système va maintenant s'éteindre et redémarrer.)
apres le reboot, tt c'est bien passé, il ne me l'a pas refait.pourtant, je viens de reinstaller mon systeme, et j'ai le dernier Kasperky Internet Security 6!
comment ce "virus" est il entré, et que dois-je faire?
Puis-je vous poster un rapport Hisjaktis ce soir?
merci beaucoup.

Message édité par AZER16 le 14-12-2006 à 10:24:07

Reply

Marsh Posté le 28-03-2007 à 12:22:22

bonjour.
j'ai entre les mains le meme probleme
g bien supprimer le fichier U.exe de la racine C: mais je ne trouve pas les autres fichiers (g aussi afficher les fichiers cachés ).

avec une analyse de hijackthis voila ce que jobtien

Code :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:40:26, on 28-03-2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Compaq\vcagent\vcagent.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\dllcache\svcshoter.exe
d:\Oracle\Ora81\bin\dbsnmp.exe
d:\Oracle\Ora81\bin\vppdc.exe
d:\Oracle\Ora81\BIN\TNSLSNR.exe
d:\oracle\ora81\bin\ORACLE.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\compaq\survey\Surveyor.EXE
C:\Program Files\TapeWare\TWWINSDR.EXE
D:\jakarta-tomcat-4.1.18\bin\tomcat.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe
C:\WINNT\System32\CpqRcmc.exe
C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe
C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\sysdown.exe
C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe
C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\mpn.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\cpqteam.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINNT\system32\mpn.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realevent.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\00\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://127.0.0.1/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.144:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [CPQTEAM] cpqteam.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MPNet] C:\WINNT\system32\mpn.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 4915591015
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD6A8964-0112-4544-A83B-089C70CD6C36}: NameServer = 212.217.0.1,212.217.0.12
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\system32\browseui.dll
O23 - Service: Avertissement (Alerter) - Unknown owner - C:\WINNT\System32\services.exe
O23 - Service: Gestion d'applications (AppMgmt) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Explorateur d'ordinateur (Browser) - Unknown owner - C:\WINNT\System32\services.exe
O23 - Service: NIC Agent (CpqNicMgmt) - Hewlett-Packard Company - C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe
O23 - Service: Compaq Remote Monitor Service (CpqRcmc) - Compaq - C:\WINNT\System32\CpqRcmc.exe
O23 - Service: Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\Compaq\vcagent\vcagent.exe
O23 - Service: Web Agent (CpqWebMgmt) - HP Corporation - C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe
O23 - Service: Foundation Agent (CqMgHost) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe
O23 - Service: Server Agents (CqMgServ) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe
O23 - Service: Storage Agents (CqMgStor) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe
O23 - Service: Client DHCP (Dhcp) - Unknown owner - C:\WINNT\System32\services.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINNT\System32\dmadmin.exe
O23 - Service: Gestionnaire de disque logique (dmserver) - Unknown owner - C:\WINNT\System32\services.exe
O23 - Service: Client DNS (Dnscache) - Unknown owner - C:\WINNT\System32\services.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Service de télécopie (Fax) - Unknown owner - C:\WINNT\system32\faxsvc.exe
O23 - Service: Serveur (lanmanserver) - Unknown owner - C:\WINNT\System32\services.exe
O23 - Service: Station de travail (lanmanworkstation) - Unknown owner - C:\WINNT\System32\services.exe
O23 - Service: Service d'application d'assistance TCP/IP NetBIOS (LmHosts) - Unknown owner - C:\WINNT\System32\services.exe
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINNT\system32\dllcache\svcshoter.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINNT\system32\netdde.exe
O23 - Service: Ouverture de session réseau (Netlogon) - Unknown owner - C:\WINNT\System32\lsass.exe
O23 - Service: Réplication de fichiers (NtFrs) - Unknown owner - C:\WINNT\system32\ntfrs.exe
O23 - Service: Fournisseur de la prise en charge de sécurité LM NT (NtLmSsp) - Unknown owner - C:\WINNT\System32\lsass.exe
O23 - Service: OracleOraHome81Agent - Oracle Corporation - d:\Oracle\Ora81\bin\dbsnmp.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - d:\Oracle\Ora81\BIN\ONRSD.EXE
O23 - Service: OracleOraHome81DataGatherer - Oracle Corporation - d:\Oracle\Ora81\bin\vppdc.exe
O23 - Service: OracleOraHome81HTTPServer - Unknown owner - d:\Oracle\Ora81\Apache\Apache\Apache.exe
O23 - Service: OracleOraHome81PagingServer - Unknown owner - d:\Oracle\Ora81/bin/pagntsrv.exe
O23 - Service: OracleOraHome81TNSListener - Unknown owner - d:\Oracle\Ora81\BIN\TNSLSNR.exe
O23 - Service: OracleServiceCPM - Oracle Corporation - d:\oracle\ora81\bin\ORACLE.EXE
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Agent de stratégie IPSEC (PolicyAgent) - Unknown owner - C:\WINNT\System32\lsass.exe
O23 - Service: Emplacement protégé (ProtectedStorage) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Gestionnaire de comptes de sécurité (SamSs) - Unknown owner - C:\WINNT\system32\lsass.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe
O23 - Service: Service d'exécution par délégation (seclogon) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Service SNMP (SNMP) - Unknown owner - C:\WINNT\System32\snmp.exe
O23 - Service: Surveyor - Hewlett-Packard Development Group, L.P. - C:\compaq\survey\Surveyor.EXE
O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Compaq Computer Corporation - C:\WINNT\System32\sysdown.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINNT\system32\smlogsvc.exe
O23 - Service: TapeWare - Unknown owner - C:\Program Files\TapeWare\TWWINSDR.EXE
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Tomcat - Alexandria Software Consulting - D:\jakarta-tomcat-4.1.18\bin\tomcat.exe
O23 - Service: Serveur de suivi de lien distribué (TrkSvr) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Client de suivi de lien distribué (TrkWks) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Gestionnaire d'utilitaires (UtilMan) - Unknown owner - C:\WINNT\System32\UtilMan.exe
O23 - Service: Horloge Windows (W32Time) - Unknown owner - C:\WINNT\System32\services.exe
O23 - Service: Infrastructure de gestion Windows (WinMgmt) - Unknown owner - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Extensions du pilote WMI (Wmi) - Unknown owner - C:\WINNT\system32\Services.exe
--
End of file - 8974 bytes

merci

Reply

[Résolu]Pb de virus ...

Sujets relatifs:

Leave a Replay