Infection par hldrrr.exe

[ByOpHaZ]

Bonjour,

je me tourne vers vous car j'ai fais le tour de ce que j'été capable de faire.

Dans un pack de musique pour stepmania, kaspersky ma ouvert une alerte sur un certain "hldrrr.exe" que j'ai interdit.
Peut de temps après, j'ai eu un magnifique blue screen...
Ma copine l'avait mis peu de temps avant sur son ordinateur et a également eu un blue-screen mais n'as pas eu d'avertisement de son antivirus (nod32)
(elle as également plein de pop-up sur internet que moi je n'ai pas)

Pour mon pc j'ai fait un scan avec AVG en mode sans echec mais il ne m'a rien trouvé.

Je vais vous poster mes rapports DiagHelp et hijackthis.

Pour ceux de l'autre pc que je mettrai plus tard est-il mieu que je fasse un autre topic ?
(Pour le moment je lui fait un eScan en mode sans echec et il a trouvé Trojan.Win32.Pakes.bwy et hacktool.win32.agent.cx mais je ne peu pas affirmer que les même sont sur mon mon ordi).

Merci d'avance !
-----

[Cyrrus]

Bonsoir,

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.



Télécharge ELIBAGLA en bas de cette page.
http://www.zonavirus.com/datos/desca...5/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton Bureau.

Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire.

ATTENTION : Ne cherche pas à aller en mode sans échec par msconfig, cela pourrait compremettre ton système

Patiente le temps du scan.
Lorsqu'il a terminé, poste le fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\

Bonne soirée
Cyrrus

[ByOpHaZ]

Bonsoir!

Merci de vous occuper de mon cas et désolé de ne pas avoir répondu plus tôt!

Voici les 2 rapports que vous avez demandé.

Bonne soirée.

[Cyrrus]

Bonsoir,

C'est marrant parce que...sur ton pc il n'y a rien apparemment. Peux tu démarrer en mode sans échec ?

Pour ta copine je veux bien voir par contre (son pc ). Crée un nouveau topic en effet, ce sera plus simple.

Juste pour vérifier :

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.

1. ferme toutes les applications et fenêtres
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
   Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
   • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
     Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
   • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
     main.txt <- ouvert en premier plan et en plein écran
     extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
   S'il s'agit d'une utilisation supplémentaire de DSS :
   • tu n'auras pas de boîte de dialogue (pas de OK)
   • quand le traitement est terminé, un fichier texte s'affiche :
     main.txt <- ouvert en premier plan et en plein écran
4. copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
5. copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
6. n'oublie pas de réactiver les protections si elles ont été stoppées.

Poste les rapports de DSS (un rapport hijackthis est inclus dans les rapports DSS).


Bonne soirée
Cyrrus

[A voir en vidéo sur Futura]

[ByOpHaZ]

Bonsoir.

Pour mon PC oui je peu démarer en mode sans echec.
Faut croire que malgrès le premier plantage du PC kaspersky à bloqué le plus gros de l'infection ^^

Par contre faut croire que ma copine n'as pas eu cette chance...
Je te l'aurais bien montré (son PC ) mais c'était devenu une telle galère.
ELIBAGLA avait trouvé de nombreux fichier je n'avais plus accès au mode sans echec (plantage écran bleu), ralentissement horrible, impossible de faire fonctionner certain des utilitaires de désinfection...

Du coup j'ai pris mon courage à 2 mains, petite sauvegarde des données et formatage en bonne et due forme ^^
J'en ai profité pour suivre les recommandations du projet AntiMalware
J'ai passé son disque C en ntfs, configuré un compte administrateur puis un standard pour l'utilisation normal.
J'ai bien fait attention de réinstaller l'antivirus et un anti-spyware avant toute connexion puis dès que j'ai remis l'accès internet j'ai fais toutes les mises à jours de sécurité

Pour le moment il tourne au poil j'espère que ça va durer !

Pour mes rapports DDS les voici !
Je les ai pas copié dans le post, ils étaient bien trop long ^^

Bonne soirée =)

[Cyrrus]

Bonjour,

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\system32\drivers\down

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le bouton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

~~~~~~~~~~~~~~

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
• Navigues pour trouver ce fichier (*) :

Code:

C\System32\syssetub.dll

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
• Une nouvelle fenêtre de ton navigateur va apparaître
• Clique alors sur cette image :
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
• Enfin colle le résultat dans un fichier texte
• Poste ce fichier dans ta prochaine réponse.

Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

(*) : si tu ne trouves pas le fichier en question, affiche tous les fichiers/dossiers :

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

Bonne soirée
Cyrrus

[ByOpHaZ]

Bonsoir Cyrrus.

Pour le fichier que tu as demandé d'analyser, faute de frappe a la fin du nom ?
Tu m'as indiqué syssetub.dll mais comme je n'en ai pas, j'ai supposé que c'était syssetup.dll
Voici son analyse :

 Cliquez pour afficher

------------------------------------------------------------

Fichier syssetup.dll reçu le 2008.01.31 21:03:04 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.2.1.10 2008.01.31 -
AntiVir 7.6.0.59 2008.01.31 -
Authentium 4.93.8 2008.01.31 -
Avast 4.7.1098.0 2008.01.31 -
AVG 7.5.0.516 2008.01.31 -
BitDefender 7.2 2008.01.31 -
CAT-QuickHeal 9.00 2008.01.30 -
ClamAV 0.92 2008.01.31 -
DrWeb 4.44.0.09170 2008.01.31 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5500 2008.01.31 -
Ewido 4.0 2008.01.31 -
FileAdvisor 1 2008.01.31 -
Fortinet 3.14.0.0 2008.01.31 -
F-Prot 4.4.2.54 2008.01.30 -
F-Secure 6.70.13260.0 2008.01.31 -
Ikarus T3.1.1.20 2008.01.31 -
Kaspersky 7.0.0.125 2008.01.31 -
McAfee 5220 2008.01.31 -
Microsoft 1.3109 2008.01.31 -
NOD32v2 2840 2008.01.31 -
Norman 5.80.02 2008.01.31 -
Panda 9.0.0.4 2008.01.30 -
Prevx1 V2 2008.01.31 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.25.0 2008.01.31 -
Sunbelt 2.2.907.0 2008.01.31 -
Symantec 10 2008.01.31 -
TheHacker 6.2.9.203 2008.01.30 -
VBA32 3.12.2.6 2008.01.31 -
VirusBuster 4.3.26:9 2008.01.31 -
Webwasher-Gateway 6.6.2 2008.01.31 -
Information additionnelle
File size: 1005056 bytes
MD5: 1fde0fd97a4ff656d3b50f7ae1c6f6 ee
SHA1: c27f5fcc2e7e7d1f74ac351408fe41 8143c16844
PEiD: -

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.2.1.10 2008.01.31 -
AntiVir 7.6.0.59 2008.01.31 -
Authentium 4.93.8 2008.01.31 -
Avast 4.7.1098.0 2008.01.31 -
AVG 7.5.0.516 2008.01.31 -
BitDefender 7.2 2008.01.31 -
CAT-QuickHeal 9.00 2008.01.30 -
ClamAV 0.92 2008.01.31 -
DrWeb 4.44.0.09170 2008.01.31 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5500 2008.01.31 -
Ewido 4.0 2008.01.31 -
FileAdvisor 1 2008.01.31 -
Fortinet 3.14.0.0 2008.01.31 -
F-Prot 4.4.2.54 2008.01.30 -
F-Secure 6.70.13260.0 2008.01.31 -
Ikarus T3.1.1.20 2008.01.31 -
Kaspersky 7.0.0.125 2008.01.31 -
McAfee 5220 2008.01.31 -
Microsoft 1.3109 2008.01.31 -
NOD32v2 2840 2008.01.31 -
Norman 5.80.02 2008.01.31 -
Panda 9.0.0.4 2008.01.30 -
Prevx1 V2 2008.01.31 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.25.0 2008.01.31 -
Sunbelt 2.2.907.0 2008.01.31 -
Symantec 10 2008.01.31 -
TheHacker 6.2.9.203 2008.01.30 -
VBA32 3.12.2.6 2008.01.31 -
VirusBuster 4.3.26:9 2008.01.31 -
Webwasher-Gateway 6.6.2 2008.01.31 -

Information additionnelle
File size: 1005056 bytes
MD5: 1fde0fd97a4ff656d3b50f7ae1c6f6 ee
SHA1: c27f5fcc2e7e7d1f74ac351408fe41 8143c16844
PEiD: -

------------------------------------------------------------

Et voici le rapport OTMoveIt :

------------------------------------------------------------
C:\WINDOWS\system32\drivers\do wn moved successfully.

OTMoveIt2 v1.0.17 log created on 02012008_205840

------------------------------------------------------------

Bonne soirée !

[Cyrrus]

Bonsoir,

faute de frappe a la fin du nom ?

Non.

mais comme je n'en ai pas

si tu ne trouves pas le fichier en question, affiche tous les fichiers/dossiers

As tu afficher les fichiers/dossier cachés ?

[ByOpHaZ]

Bonjour,

désolé pour le temps de réponse.

Oui j'ai bien affiché les fichiers/dossier cachés ainsi que les fichiers systèmes.
Et je n'avais pas de syssetub.dll.

Donc je ne sais pas...

[Cyrrus]

Bonsoir,

Au lieu de chercher le fichier, essaie de copier/coller le chemin dans la barre de saisie. Regarde si cel marche.

Où en sont les symptômes ?

Bonne soirée
Cyrrus