je rêve ou koi??
tu as une variante de Sasser
C:\WINDOWS\system32\lsass.exe <-- ok programme légitime
C:\WINDOWS\system32\Isass.exe <-- Sasser.xxxx [:merlot]
ok! nos messages se sont croisés, je vois que tu as trouvé comment désactiver et réactiver la restau système
pour le log tu dois :
1°) faire les fix (cocher) dans l’hijack et 2°) supprimer les fichiers infectés, il va falloir que tu ouvres grands tes yeux pour supprimer Isass.exe avec I localisé au même endroit C:\WINDOWS[b]system32<–ici[/b] et non le fichier C:\WINDOWS\system32[u]l[/u]sass.exe
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: (no name) - {CC8C8F4F-F2E8-404B-A43D-5CC57876A008} - (no file)
2°) rechercher et supprimer dans l’explorateur windows en dépliant (+)
–>C:–>WINDOWS–>system32\ supprime : Isass.exe ttention!! à l’ortho, je me répète mais…
FAIRE :
désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
affiche les dossiers cachés :
Clique sur “Démarrer” >> “Panneau de Configuration” >> “Options des Dossiers”
Clique sur l’onglet “Affichage”>> Dans la liste des “Paramètre avancés”, sous la rubrique “Fichiers et dossiers cachés”>>[!! coche!!] “Afficher les fichiers et dossiers cachés”
Pour afficher les autres fichiers cachés>>[ !!décoche!!] la case “Masquer les fichiers protégés du système d’exploitation” *
recherche et supprime
C:\WINDOWS\SYSTEM32[b]xxxxx.exe<–à à supprimer[/b]
redémarre en mode normal - vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)
réactive ta restauration système <-- n’oublie pas!!
Pour le log :
*ferme TOUS les programmes
*fixe les lignes trouvées dans l’hijack
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille (bis après suppression du/des fichiers)
*effectue un nettoyage de disque <-- bis aussi(démarrer/program./accessoires/outils système/répondre OK à TOUT)
dans l’hijack (en bas de la page screenshot en français) tu as une dossier Backup (sauvegarde) en cas de problèmes - tu peux restaurer une ligne fixée (cochée) n’oublie pas!!! qd tu as finis tu repostes un nouveau log hijack pour voir où ça en est
zut! j’ai oublié cette ligne - pas grave - tu fixeras tt à l’heure
O2 - BHO: Saristar - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50} - C:\WINDOWS\system32[b]saristar.dll[/b] (file missing)
Coulomb dialer related parasite http://castlecops.com/clsid-1401.html
voila le dernier log de hijack, cependant au debut lorsque j’ai fixe ya eu un ptit blem apparement ca n’a pas supprime un fichier, j’ai la “photo” ecran du message d’erreur si tu veux je peux te la mailer. Ensuite lorsque j’ai redemmarer en mode sans echec, je n’ai pas trouve le fichier xxxx.exe dans windows\system 32. ya un fichier appelle xcopy qui est un .exe je crois mais les autres sont des x… mais pas de xxxxx.exe.
voila je te met quand meme le dernier log hijack je j’ai fait.
Logfile of HijackThis v1.99.1
Scan saved at 8:35:54 PM, on 19/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
ha oui si tu veux je peux te mailer la “photo” du message d’erreur que j’ai eu au debut lors du premier fix, donne moi ton adresse a vendeben@hotmail.com si tu veux pas la mettre sur le forum :bounce:
:whistle: m’enfin!! bien sûr qu’il n’y a pas de fichier xxxx.exe les {x} c’étaient 1 terme générique, je t’avais déjà mis les fichiers exeS à supprimer
bon le log est clean, tu as même supprimé la ligne :
O2 - BHO: Saristar - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50} - C:\WINDOWS\system32\saristar.dll (file missing) <-- super!
presque clean… - par contre tu n’as pas de firewall, même le firewall d’xp sp2 n’est pas activé, tu vas tout rechoppé dans les 30 prochaines minutes - regarde sur Clubic ou Google pour des firewalls gratuits, type : Kerio Personal Firewall qui est très facile à configurer ou son clone : ZoneAlarm
tu n’as pas d’antispywares, ça urge :
Ces 2 tu les gardes, ils sont gratuits/efficaces/complémentaires télécharge Ad-aware.SE/ Spybot.s&d 1.3
Le message d’erreur devait concerner cette ligne non?
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http$$://search.looksmart.com/p/search?pi=lstb2&tv=
quand tu as installé Messenger+3 tu as coché la case “je n’accepte pas le sponsor”??
ha oui aussi petite info pour que tu ne soit plus “perdu” tu est bien en france et sur le bon continent enfin je suppose!!!, en ce moment je suis en australie pendant un an, c’est pour cela que je devait diner car il est 10h en avance ici. Si tu veux aller faire un tour sur mon blog a propo de ce que je fait en australie, je te laisse l’adresse http://vendeben.skyblog.com
encore voir ça :
C:\Program Files<-- situé ici\Messenger\msmsgs.exe <-- supprime msmsgs.exe ou désinstalle-le s’il veut bien dans ajout/supp de programmes
qui va avec ce malware de la ligne 04
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE
“My Web Search” malware http://computercops.biz/startuplist-2380.html
ces 2 boutons :
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
tu supprimes d’abord le programme en C : Program Files, tu relances l’hijack, tu regardes si le programme est tjrs présent ou les autres lignes et tu fixes ce qu’il reste, sinon tu refais la suppression du fichier msmsgs.exe (désactiver la restau/afficher les fichiers cachés/mode sans échec/etc etc…)
tu as déjà MSN --> C:\Program Files\MSN Messenger\msnmsgr.exe <-- n’en rajoute pas, c’est ok
n’oublie pas de télécharger les antispys et de scanner ton ordi hors connexion - et le firewall grrrr!
je n’en doute pas un seul instant
tu supprimes en général les cookies tt de suite - pour le reste des détections tu fais des quarantaines (voir les tutos) dans qq jours si tout tes programmes fonctionnent bien tu peux supprimer les quarantaines - de tte façon Spybot et ad-aware sont des logiciels très sûrs, rien à craindre
Logfile of HijackThis v1.99.1
Scan saved at 10:06:38 PM, on 19/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
merci beaucoup pour ton aide ca m’a beaucoup depanne, et merci d’avoir pris du temps comme ca, tu n’y etait pas oblige!!! et n’oublie pas d’aller faire un tour sur le blog que je vais enfin pouvoir mettre a jour!!!.