SOS virus Win32/Hidrag.A
SOS virus Win32/Hidrag.A - Sécurité - Windows & Software
Marsh Posté le 03-08-2005 à 18:47:21
Bonjour, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip
Important: Installer Hijackthis correctement
Linstaller sous C:\Hijackthis par exemple (pas dans un fichier temp)
Scan/save log (rapport)/copier&coller le contenu du rapport ici
Tutorial pour linstallation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
Démo en images ici
http://pageperso.aol.fr/balltrap34/demohijack.htm
Merci balltrap
Marsh Posté le 03-08-2005 à 19:01:46
bon merci mais je reviendrais demain ... je galer pr installer le fichier...
mon disque dur principal (ou il y a windows ) s appel F: doisje installer sur F: ou quand meme sur C: ?
merci a demain
Marsh Posté le 03-08-2005 à 19:05:46
nan en fait j aimerai bien regler ca tout de suite je ne peux plus acceder a mon logiciel professionnel... 
((((
Marsh Posté le 03-08-2005 à 19:10:41
ca me met parametre incorrect..... et il me le dezip pas prkoi?
Marsh Posté le 03-08-2005 à 19:19:15
impossible quand je clik sur extraire ca ne me fait rien...
aidez moi svp
Marsh Posté le 03-08-2005 à 19:20:36
Dézippe dans F:
Télécharge et exécute Smartkiller.
http://www.safer-networking.org/files/delcwssk.zip
Sinon fais copier/coller d' Hijackthis dans ton répertoire dédié
ensuite, clic droit sur Hijackthis.exe> Renommer> Hijackthis.com
En dernier lieu, fais un scan ici:
http://www.pandasoftware.com/activescan/
Marsh Posté le 03-08-2005 à 19:30:11
en plus je suis en train de penser ma copine n a pas les clefs de la maison je fini le scan je dis ce qu il en est et on finira demain... j esperes trouver des gens aussi sympa pr m aider demain matin a partir de 9h00 ...
c est desesperant l informatique quand on est pas tres bon...
merci en core a toi stonangel et a demain peut etre bonne soirée
Marsh Posté le 04-08-2005 à 08:52:57
bon me revoila y a t il quelqu un pour m aider a virer ce virus...
merci
je commence a avoir plein de programmes inutilisables comme si ils etaient desinstallés mais que l icone pour les lancer etaient encore sur mon bureau... c est le cas de winrar...
Marsh Posté le 04-08-2005 à 09:18:20
voila le rapport du scan que j ai fais sur pandasoftware...alos...
Incident Status Location
Possible Virus. No disinfected F:\PROGRAM FILES\LOGITECH\VIDEO\MANIFESTENGINE.EXE
Adware:Adware/Admess No disinfected F:\WINDOWS\System32\WStart.dll
Adware:Adware/Admess No disinfected F:\WINDOWS\System32\NTCommLib3.exe
Adware:adware/xplugin No disinfected F:\WINDOWS\nsdb
Adware:adware/cws.aboutblank No disinfected Windows Registry
Possible Virus. No disinfected F:\Documents and Settings\Administrateur\Local Settings\Temp\ASHeuristic\MANIFESTENGINE.EXE.vir
Spyware:Spyware/XXXToolbar No disinfected F:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\DBFFE2C2\prompt[1].php[prompt[1]]
Spyware:Spyware/YourSiteBar No disinfected F:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\GM0N07UU\CA0WDT36.HTM
Spyware:Spyware/XXXToolbar No disinfected F:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\GM0N07UU\prompt[1].htm
Spyware:Spyware/XXXToolbar No disinfected F:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\GM0N07UU\prompt[1].php[prompt[1]]
Spyware:Spyware/XXXToolbar No disinfected F:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\GM0N07UU\prompt[2].php[prompt[2]]
Spyware:Spyware/ISTbar No disinfected F:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\GM0N07UU\thekeys[1]
Spyware:Spyware/ISTbar No disinfected F:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\QJF093ZB\top[1].html
Spyware:Spyware/ISTbar No disinfected F:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\Y5PJY0HD\avg_antivirus_7_xx[1].html
Spyware:Spyware/XXXToolbar No disinfected F:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\Y5PJY0HD\CAEN0LM7.HTM
Spyware:Spyware/ISTbar No disinfected F:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\Y5PJY0HD\d[1].htm
Possible Virus. No disinfected F:\Program Files\Logitech\Video\ManifestEngine.exe
Adware:Adware/Admess No disinfected F:\WINDOWS\system32\NTCommLib3.exe
Adware:Adware/Admess No disinfected F:\WINDOWS\system32\WStart.dll
Marsh Posté le 04-08-2005 à 09:48:24
voici le log par hijackthis que j ai pu faire en supprimant et reinstallant winrar
Logfile of HijackThis v1.99.1
Scan saved at 09:45:13, on 04/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\brsvc01a.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\System32\brss01a.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
F:\Program Files\AVPersonal\AVWUPSRV.EXE
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\System32\hkcmd.exe
F:\Program Files\Analog Devices\Core\smax4pnp.exe
F:\WINDOWS\System32\LVCOMSX.EXE
F:\Program Files\Logitech\Video\LogiTray.exe
F:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
F:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
F:\WINDOWS\System32\NTCommLib3.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\MSN Messenger\MsnMsgr.Exe
F:\Program Files\Logitech\Video\FxSvr2.exe
F:\Program Files\Spyware Doctor\swdoctor.exe
F:\WINDOWS\System32\wuauclt.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Internet Explorer\iexplore.exe
F:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - F:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - F:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - F:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] F:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] F:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] F:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] F:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [msnappau] "F:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [AVGCtrl] "F:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NTCommLib3] F:\WINDOWS\System32\NTCommLib3.exe
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "F:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MsnMsgr] "F:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "F:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = F:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - F:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/file [...] n-test.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O20 - Winlogon Notify: igfxcui - F:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - F:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - F:\WINDOWS\svchost.exe
Marsh Posté le 04-08-2005 à 12:33:19
Bonjour, tu as deux antivirus, pense à en désinstaller un. Je regarde ton rapport réponse dans un moment
Marsh Posté le 04-08-2005 à 13:01:46
Re, télécharge:
CCleaner
http://www.ccleaner.com/ccdownload.asp
Ewido
http://www.ewido.net/
Installe et mets à jour
Killbox d'Option^Explicit
http://www.bleepingcomputer.com/fi [...] illBox.zip
Dézippe le sur le bureau.
Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne:
Power Manager (PowerManager)
Double clique sur la ligne
Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de F:\WINDOWS\svchost.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.
Démarre en mode sans échec (F8 ou F5)
Assure toi d'avoir accès à tous les fichiers.
| Citation : Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : |
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O23 - Service: Power Manager (PowerManager) - Unknown owner - F:\WINDOWS\svchost.exe
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
F:\WINDOWS\web\<le contenu du dossier
F:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\<le contenu du dossier
Lance Killbox. Ouvre le bloc-notes et copie colle le texte entre tirets suivant:
----------------------------------------------------------------------------
F:\WINDOWS\System32\WStart.dll F:\WINDOWS\System32\NTCommLib3.exe F:\WINDOWS\nsdb
F:\WINDOWS\system32\NTCommLib3.exe F:\WINDOWS\system32\WStart.dll
F:\WINDOWS\svchost.exe
-----------------------------------------------------------------------------
Sélectionne le avec les touches Ctrl+A puis Ctrl+C
Coche Delete on reboot> File> Paste from Clipboard, clique ensuite sur la croix rouge
Au deux messages qui vont s'afficher, réponds par oui.
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
Exécute CCleaner sur chaque session utilisateur
Scanne ton ordinateur avec Ewido
Redémarre normalement et poste un nouveau rapport Hijackthis avec celui d'Ewido pour vérification
Fais analyser ce fichier F:\WINDOWS\System32\NTCommLib3.exe sur:
http://virusscan.jotti.org/ Colle l'analyse dans ton prochain message
Message édité par stonangel le 04-08-2005 à 13:38:32
Marsh Posté le 10-08-2005 à 17:35:12
doit t'on faire la même choses pour un disque dur externe infecter de Win32.Hidrag.a ? et autre question quelle logiciel anti virus et anti vers surtout me conseillez vous pour ne pas chopper les vers quand je fait un transfer d'un pc a un autre avec mon disk dur externe ?
le probléme et que j'ai un vers Win.32.hidrag.a détecter avec kapersky
et un autre vers appeler W32.Jeefo avec norton
s'est le même vers ?????
sans anti virus le vers ne fait pas(ou plus) chier mon pc il a l'air d'étre inactif mais il a causer des dégat sur mon HDD externe sur les fichier. .exe...
donc pour en finir se que je veux savoir s'est comment rendre mon hdd clean et quelle log pour le conserver clean (sans me dir FORMAT C: ) sa serai cool 
merci a ceux qui voudron bien me répondre
Sujets relatifs:
- Site de boules et virus à la con...
- Pb Active directory W2000server /virus?
- gele de connexion = virus ?
- Log HiJack - virus en tous genres
- après d'avoir éliminé le virus, en ouvrant IE, j'ai about:blank?
- Securitoo AV - Mise a jour des définitions de virus
- il me semble avoir un virus
- intrus sur msn avec virus trojan
- Help virus!! merci
- SOS: on a taggé mon PC! comment s'en débarrasser?
Marsh Posté le 03-08-2005 à 18:43:49
pouvez vous me dire quoi faire pour le virer ..
j ai AVG free edition mais il ne veux pas me l enlever de l ordi...
merci !