Forums
Vous n'êtes pas connecté.
#1 18/02/2006 02:41:16
- justine
- Membre
- Date d'inscription: 18/02/2006
- Messages: 2
backdoor heplane
Bonjour tout monde.
Etant une novice, je me permets de vous ecrire sur ce forum en demandant votre aide...J'ai depuis quelques jours ce je ne sais quoi sur mon disque dur...Norton me met le message qu'il a repéré un virus ( backdoor heplane) mais qu'il est incapable de le corriger ni même y acceder...j'essaie de le désinstaller manuellement...rien...le plus embetant dans tout ca c'est ' symantec Email proxy' qui fait des analyses de messages à tout va !!!!
spybot ne détecte rien....je ne sais que faire!!
Vous est il possible de m'aider SVp ??
en vous remerciant d'avance
Justine
Hors ligne
#2 18/02/2006 10:27:28
Re: backdoor heplane
Bonjour justine,
Nous allons donc essayer de terminer les tâches relative à ce virus manuellement (cela devrait permettre à norton de faire ensuite son travail d'erradication). Pour ce faire
Télécharge hijackthis http://telechargement.zebulon.fr/license-1-160.html
Apres installation clique sur scanner et sauvegarder le log. Notepad s'ouvrira alors et il suffit juste de faire un copier coller de son contenu dans ta prochaine réponse.
Apres l'analyse de ce log je te donnerais une procédure afin de régler ce souci.
Polo62 ou !aur3n7
Hors ligne
#3 19/02/2006 00:04:33
- justine
- Membre
- Date d'inscription: 18/02/2006
- Messages: 2
Re: backdoor heplane
merci beaucoup Polo, j'apprecie votre aide !!
Voilà ce que cela donne :
Logfile of HijackThis v1.99.1
Scan saved at 23:58:29, on 18/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\CheckFlow\FlowProtector\5.0.0.4\FlowService.exe
C:\WINDOWS\System32\ssvhoost94.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\mnswpr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\wincon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [internet service] ssvhoost94.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\mnswpr.exe
O4 - HKLM\..\RunServices: [internet service] ssvhoost94.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplat … -devel.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe … loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: FlowProtectorService - - C:\Program Files\CheckFlow\FlowProtector\5.0.0.4\FlowService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
En esperant que cela vous sera utile,
Encore un grand merci et un grand bravo pour votre travail !!
Justine
Hors ligne
#4 19/02/2006 00:34:39
Re: backdoor heplane
Bon aux vues de ce log ce heplane n'est pas seul à squatter ton ordinateur.
Télécharge:
Ad-aware
Son patch fr
Un tuto
Installation, mise a jour, scan supprime tout ce qu'il trouve
Spyboot search and destroy 1.4
Tutorial
Démonstration animée
installation, mise a jour, vaccination,scan et supprime tout ce qu'il trouve
Ccleaner
Cliquez sur download latest version en haut a droite pour le télécharger.
Installe le,
Dans erreur
Décocher la case devant Intégrité du registre et Intégrité des fichiers Ne l'utilise pas de suite
Regseeker
Un tuto Décompresse le dans un dossier (c:\regseeker) on l'utilisera à la fin aussi.
- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Coche Afficher les Fichiers et dossiers cachés
- Décoche Masquer les fichiers protégés du système d'exploitation
- Décoche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements
- Désactive la restauration système http://www.sosordi.net/Astuce/Astuce.29.html
Tu réactiveras la restauration une fois le nettoyage terminé
- Redémarre ton PC en mode sans échec Impératif !!! http://www.sosordi.net/Faq/Faq.2.html
relance hijackthis et coche ces lignes
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [internet service] ssvhoost94.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\mnswpr.exe
O4 - HKLM\..\RunServices: [internet service] ssvhoost94.exe
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplat … -devel.cab
Clique sur fixer objet
Recherche et supprime ces fichiers
C:\WINDOWS\System32\ssvhoost94.exe
===> Worm.Ircbot.Gen
C:\mnswpr.exe
===>Backdoor.Heplane
C:\WINDOWS\system32\wincon.exe
===>W32/Sdbot-DJB
- Utilise Ccleaner pour parfaire le ménage sur ton disque dur
- Décoche dans Erreurs la case devant Intégrité du registre et Intégrité des fichiers
- Clique sur le bouton Analyse puis celle-ci finie sur Lancer le nettoyage
- Utilise regseeker
nettoyage de la base de registre ok pour lancer le scan, une fois fini clique sur selectionner tout et choisis selectionner les elements verts , clique droit sur la selection et choisis supprimer les entrees
Redemarre en mode normal et refais un log de contrôle
Normalement si tout se déroule bien norton ne devrait plus le detecter
Au passage 2 de ces 3 bestioles exploitent des failles corrigées de windows je ne saurais donc te conseiller de le mettre à jour.
Polo62 ou !aur3n7
Hors ligne
