PC rebelle - Win2k Ed.

[RedFo1]

Bonjour,

Tout d'abord je précise que j'ai cherché sur le forum si je trouvais mon problème, et je n'ai trouvé que <A HREF="viewtopic.php?topic=21825&forum=1" TARGET="_blank">ce post</A>, qui ne correspond pas vraiment.
Mon problème est que, depuis ce matin, mon PC arrête systématiquement et quelques secondes après leur lancement les programmes tels que : anti-virus résident (NAV et AntiVir), gestionnaire des tà¢ches, regedit, command.com (c'est tt ce que j'ai constaté pour le moment). Mon firewall (Sygate Personal Firewall) n'est pas touché par ce problème.
J'ai : redémarré le PC, fait une analyse anti-virus (AntiVir), et j'ai scanné les trojans ( <a href="http://www.trojanscan.com" target="_blank">http://www.trojanscan.com</a> ) : rien (en fait, 2 virus supprimés mais le problème persiste).
Ce problème est apparu alors que mon firewall était resté inactif pendant qq heures.
Les valeurs dans HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun sont normales, à  part peut-être "C:WINNTSYSTEMKernel32.dll", que je n'avais pas remarqué avant (mais je ne connais pas par coeur le contenu de cette clé.
J'ai essayé de lancer SFC (Démarrer---Exécuter---SFC), mais ce programme est aussi immédiatement arrêté.

Avez-vous une idée d'o๠peut venir mon problème ?

Merci

[RedFo1]

J'ai oublié de dire : j'ai aussi des problèmes avec mon fichier hosts : il s'est supprimé tout seul <IMG SRC="/images/smiles/omg_smile46.gif"> apparemment...

Et aussi : je viens de découvrir que visiblement, toutes mes applications 16 bits sont touchées par le problème de la fermeture immédiate.

[vazkor]

Salut,

Tu tiens le coupable!

kernel32.dll se trouve dans C:WINNTsystem32 et une copie dans C:WINNTsystem32dllcache

Celui que tu as dans C:WINNTsystem y a été placé par un virus.
Lequel, à§a est une autre histoire.

Commence par virer le lancement de ce fichier avec regedit.
Si regedit ne fonctionne plus, renomme le fichier en regedit.com.
Et ensuite tu vas dans Démarrer Exécuter et tu tapes regedit comme d'hab.
Tu vires cette référence.

Ensuite scanne à  nouveau ton système après avoir désactivé la restauration si tu es sous XP/Me.


Pour rappel, si on ne précise pas l'extension, la priorité est .bat > .com > .exe.

@+

[RedFo1]

salut,

aà¯e, c'est plus compliqué que prévu : j'ai supprimé la valeur dans la base de registre, mais j'ai toujours le problème. Après qq recherches, je crois qu'il s'agit du virus VBS/Redlof-A. Incroyable que NAV et AntiVir passent dessus sans le reconnaître <IMG SRC="/images/smiles/angry_smile46.gif">
Je vais devoir l'enlever à  la main...
<a href="http://www.sophos.fr/virusinfo/analyses/vbsredlofa.html" target="_blank">http://www.sophos.fr/virusinfo/analyses ... fa.html</a>

Merci

[RedFo1]

hm, non, Redlof est passé mais il n'a pas pu s'installer, NAV l'avait donc bien arrêté... J'ai trouvé Worm_agobot.rf avec le scanner de TrendMicro ( <a href="http://www.trendmicro.com/download/dcs.asp" target="_blank">http://www.trendmicro.com/download/dcs.asp</a> ). Il a infecté C:WINNTSYSTEM32DRIVERSlsass.exe, que j'ai vu passer pas mal de fois sur mon firewall... Impossible de le supprimer... Je vais essayer de restaurer windows à  partir du CD... Je vais bien m'amuser <IMG SRC="/images/smiles/sad_smile46.gif">

[RedFo1]

c'est encore moi <IMG SRC="/images/smiles/regular_smile46.gif">

Je n'ai pas encore essayer de restaurer windows, je préfère bricoler <IMG SRC="/images/smiles/wink_smile46.gif">. J'ai désactiver les services <I>Agent de stratégie IPSEC</I> et
<I>Gestionnaire de comptes de sécurité</I> (les 2 seuls utilisant lsass.exe J'ai lu <A HREF="http://www.computing.net/security/wwwbo ... 10054.html" TARGET="_blank">ici</A> que le fichier créé normalement par agobot est lsas.exe avec un seul s, mais ce que j'ai fait donne des résultats, partiels (maintenant, seul les antivirus résidents sont arrêtés <IMG SRC="/images/smiles/thumbs_up46.gif"> ). C'est peut-être parce que le deuxième service <I>Gestionnaire de comptes de sécurité</I> n'est pas désactivé (impossible à  arrêter...).

Une question simple (la première de ce post, lol) : est-ce que quelqu'un qui a Win2k pourrait m'envoyer son fichier lsass.exe ? Je pense que à§a pourrait résoudre mon problème. Merci d'avance <IMG SRC="/images/smiles/regular_smile46.gif">

Mon e-mail : redfo1 _at_ netcourrier.com

[RedFo1]

Salut !

Je me suis débrouillé avec le CD de Windows pour trouver un lsass.exe correct. J'ai envoyé l'endommagé à  AntiVir, on verra ce qu'ils trouveront...

Le problème semble résolu <IMG SRC="/images/smiles/regular_smile46.gif">

Afin que cette expérience traumatisante serve pour l'avenir, voici les patches que j'ai installés suite à  diverses recommandations :
<A HREF="http://www.microsoft.com/downloads/deta ... layLang=en" TARGET="_blank">Windows 2000 Security Patch: Security Update for Microsoft Virtual Machine (Microsoft VM)</A>
<a href="http://www.microsoft.com/technet/securi ... 03-007.asp" target="_blank">http://www.microsoft.com/technet/securi ... 007.asp</a>
<a href="http://www.microsoft.com/technet/securi ... 03-026.asp" target="_blank">http://www.microsoft.com/technet/securi ... 026.asp</a>

[vazkor]

Salut,

La machine virtuelle Java de MS n'étant plus supportée, tu peux la remplacer par la machine de Sun.

You might want to remove the Microsoft JVM, which Microsoft no longer supports, in favor of the more recent Sun Microsystems JVM. To remove the Microsoft JVM, perform the following steps:

1. From the Start menu, select Run.
2. Enter the command

RunDll32 advpack.dll,LaunchINFSection nt5java.inf,UnInstall

to start the uninstall process
3. Click Yes to the confirmation, then select Reboot.
4. After the machine restarts, delete the following items:
* the %systemroot%java folder
* nt5java.pnf from the %systemroot%inf folder
* jview.exe and wjview.exe from the %systemroot%system32 folder
* The HKEY_LOCAL_MACHINESOFTWAREMicrosoftJava VM registry subkey
* The HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptionsJAVA_VM registry subkey (to remove the Microsoft Internet Explorer (IE) options)

Microsoft Java is now removed. You can download Sun's newer JVM for Windows at <a href="http://java.sun.com/getjava/index.html." target="_blank">http://java.sun.com/getjava/index.html.</a>
------------

Note: Sous Windows 9x/Me c'est java.inf et java.pnf qu'il faut rechercher et supprimer.

@+

[RedFo1]

salut !

en fait, j'utilise déjà  le Java de Sun, mais je n'ai pas bien suivi ce qui c passé sur mon PC... alors tant qu'à  faire autant avoir la dernière MAJ au cas o๠la VM de MS se relancerait...
Je vais suivre tes instructions pr nettoyer à§a proprement, merci <IMG SRC="/images/smiles/thumbs_up46.gif">

Sinon, je venais juste raconter la fin de l'histoire :
Message du personnel d'AntiVir (qui commence à  bien me connaître...) :
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1><b>Citation :</b></font></TD></TR></TABLE><TABLE BORDER=1 CELLPADDING=10 BORDERCOLOR=#FF0000 ALIGN=CENTER WIDTH=85%><TR BGCOLOR=#F3F2F4><TD><FONT SIZE=-1>Dear Sir or Madam,

Thank you for your recent inquiry.
We found a new virus (Worm.AgoBot.3.ee) in the attachment you have sent us.
The signature will be integrated in one of our next updates.

Thank you for your assistance.
</FONT></TD></TR></TABLE>
voilà  voilà , c'est le troisième virus que j'ai la chance de trouver et de traiter avant eux... génial non ? <IMG SRC="/images/smiles/cry_smile46.gif"> pff, j'ai une de ces envies de dormir maintenant... <IMG SRC="/images/smiles/regular_smile46.gif"> <IMG SRC="/images/smiles/moon46.gif">