Virus persistants--> un ptit coup de main SVP

Celtics -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Salut à tous!
Mon PC bug gentiment depuis 1 semaine et je ne sais plus trop quoi faire.
J'ai suivi les conseil du forum (Mode sans échec -hijack this-adaware-spybot ......) mais le problème persiste bien qu'il y ai du mieux.
Je viens donc de scanner mon pc sur ravantivirus.com et donc si quelqu'un pouvait voir la solution dans le rapport du scan ça m'aiderai beaucoup!

Merci d'avance!

Ps: J'ai windows XP et j'utilise Internet Explorer.

Scan started at 20/09/2004 19:21:26

Rapport ravantivirus:

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-487b52a0-399437e0.zip->VBUG.class - Java/Bytverify -> Infected
C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-487b52a0-399437e0.zip->rundll32.exe->(tElock v0.98) - Trojan:Win32/StartPage.AQ -> Infected
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S9YFC56J\dll2_2708[1].bin - TrojanDownloader:Win32/Saingat -> Suspicious
C:\Recycled\NPROTECT\00036617.exe->(CExe) - TrojanDownloader:Win32/Agent.AE -> Infected
C:\Recycled\NPROTECT\00036619.exe - TrojanDownloader:Win32/Alchemic.A -> Infected
C:\Recycled\NPROTECT\00044469.exe - Clicker:Win32/XMedia.J -> Infected
C:\Recycled\NPROTECT\00044523.exe - Clicker:Win32/XMedia.J -> Infected
C:\WINDOWS\httpfilter.dll - TrojanDownloader:Win32/Saingat -> Suspicious
C:\WINDOWS\httpfilter2.dll - TrojanDownloader:Win32/Saingat -> Suspicious
C:\WINDOWS\system32\cdtj32.dll - Exploit:Win32/Lsass.gen! -> Suspicious
C:\WINDOWS\system32\pbquau32.dll - Exploit:Win32/Lsass.gen! -> Suspicious
C:\WINDOWS\system32\sysentry32.exe - Backdoor:IRC/Rbot -> Infected
C:\WINDOWS\system32\TFTP3184 - Backdoor:Win32/Rbot.dam#2 -> Infected
C:\WINDOWS\system32\update2.exe->(PEDiminisher) - Exploit:Win32/Lsass.gen! -> Suspicious
C:\WINDOWS\system32\vcetx32.dll - Exploit:Win32/Lsass.gen! -> Suspicious
C:\WINDOWS\system32\windll.exe - Backdoor:Win32/Rbot -> Infected
C:\WINDOWS\system32\wudmate.exe - Backdoor:Win32/Rbot -> Infected
C:\WINDOWS\Temp\sp.html - Trojan:HTML/Starpage* -> Infected
F:\Hijak\backups\backup-20040915-005019-514.dll - TrojanDownloader:Win32/Small.FY -> Infected

Scanned
============================
Objects: 32722
Directories: 2822
Archives: 837
Size(Kb): -1428846
Infected files: 12

Found
============================
Viruses found: 10
Suspicious files: 7
Disinfected files: 0
Mail files: 69

11 réponses

  1. petitemarie Messages postés 2541 Date d'inscription   Statut Membre Dernière intervention   3
     
    Bonsoir.

    Essaie de les supprimer manuellement, en mode sans échec.

    Sous RAv, il me semble que tu dois avoir la touche Autoclean.

    Si tel n'est pas le cas, tu peux supprimer tes virus sur secuser
    www.secuser.com
    en décochant la restauration de ton système avant la manip.

    Pour tes trojans, va voir sur ce site, et supprimes-les avec a²free
    http://www.emsisoft.net/fr/software/download/

    Bon courage,

    ///Marie
    0
  2. Utilisateur anonyme
     
    bonsoir,

    C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\<--archive.jar-487b52a0-399437e0.zip->VBUG.class - Java/Bytverify -> Infected (dossier d'archive virale crée par ton antivirus à rechercher et à supprimer)
    C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-487b52a0-399437e0.zip->rundll32.exe->(tElock v0.98) - Trojan:Win32/StartPage.AQ -> Infected <--(d°)
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S9YFC56J\dll2_2708[1].bin - TrojanDownloader:Win32/Saingat -> Suspicious <--vide ton cache Internet (options : supprimer les cookies - supprimer les fichiers temps) + la Corbeille
    C:\Recycled\NPROTECT\00036617.exe->(CExe) - TrojanDownloader:Win32/Agent.AE -> Infected <--déjà réparé par Norton (voir quarantaine et redétecté par RAV) (à virer)
    C:\Recycled\NPROTECT\00036619.exe - TrojanDownloader:Win32/Alchemic.A -> Infected <--d°
    C:\Recycled\NPROTECT\00044469.exe - Clicker:Win32/XMedia.J -> Infected<--d°
    C:\Recycled\NPROTECT\00044523.exe - Clicker:Win32/XMedia.J -> Infected<--d°

    F:\Hijak\backups\backup-20040915-005019-514.dll - TrojanDownloader:Win32/Small.FY -> Infected <--dossier de sauvegarde (infecté) du logiciel Hijackthis détecté par RAV

    - Refait un scan avec ton antivirus la restauration système désactivée : >>Panneau de configuration>>Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
    - vaccine
    - vide ton cache internet
    - vide ta corbeille
    - nettoyage de disque
    - redémarrage
    - réactivation de la restauration système
    sinon tu vas devenir une usine de stockage de virus

    la suite de la détection est nouvelle, essaye de faire ses manips en 1er ; ensuite re-scan en appliquant les règles de base d'un scan antivirus (normalement un scan se fait en mode sans échec sauf les scans on-line)

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  3. celtics
     
    Merci de vos réponses, mais le problème persiste toujours (internet qui rame et pc un peu aussi!).
    Mon dernier espoir est donc dans le formatage, et à ce sujet je voudrais savoir 2,3 trucs:
    1.J'ai 1 disque dur couper en 2(le disque C de 9Giga et le F de 60).Si je formate est-il possible de ne formater qu'un seul de ces disques(alors qu'en fait il n'y en a réellement qu'un.)

    2.Le formatage résoud t-il tous les problème liés aux virus (je voudrais pas faire ça pour rien!)

    Merci de vos conseils.
    0
  4. Utilisateur anonyme
     
    re :-)

    2.Le formatage résoud t-il tous les problème liés aux virus <---non!

    - je ne comprends pas ? tu as un Norton 2004 comment ça se fait que tu n'arrives pas à faire une détection virale (pas si virulente que ça - tu n'as pas de virus "majeurs") ??
    - le ménage est fait sur ton ordinateur? tu as surtout des virus en "stock"
    - respecte le protocole pour scanner 1 ordinateur avec un antivirus

    @+

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Celtics
     
    Mais le problème c'est que je respecte le protocole.
    Mode sans échec:
    -Un coup de Norton 2004 (qui est MAJ)
    -un coup de hijack This pour virer les indésirables
    -Un coup de adaware et de spybot
    -un coup de reg cleaner
    -un coup de coolsearch
    -un coup de A² free
    -je vide la poubelle, les fichiers temporaires.

    Le tout est fait avec le mode de restauration désactivé.

    Mais les problemes persistes.
    Si ça peut aider je post le reésulta de hijack this:

    Logfile of HijackThis v1.98.2
    Scan saved at 15:10:08, on 21/09/2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
    C:\WINDOWS\System32\videosd32.exe
    C:\WINDOWS\System32\WINBOOT32.EXE
    C:\WINDOWS\System32\windll.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\vpc32.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\System32\msnmsgr.exe
    F:\Hijak\HijackThis.exe
    C:\Program Files\Microsoft Office\Office\WINWORD.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [Reg Services] WINBOOT32.EXE
    O4 - HKLM\..\Run: [Msn Messengers] msnmsgr.exe
    O4 - HKLM\..\Run: [Microsoft Windows Updates] EXPLORER32.EXE
    O4 - HKLM\..\Run: [MicrosoftUpdate] windll.exe
    O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
    O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe
    O4 - HKLM\..\RunServices: [Reg Services] WINBOOT32.EXE
    O4 - HKLM\..\RunServices: [Msn Messengers] msnmsgr.exe
    O4 - HKLM\..\RunServices: [Microsoft Windows Updates] EXPLORER32.EXE
    O4 - HKLM\..\RunServices: [MicrosoftUpdate] windll.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
    O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe
    O4 - HKLM\..\RunOnce: [Win32 Configuration] videosd32.exe
    O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [monitor] monitor.exe
    O4 - HKCU\..\Run: [Msn Messengers] msnmsgr.exe
    O4 - HKCU\..\Run: [MicrosoftUpdate] windll.exe
    O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
    O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe
    O4 - HKCU\..\RunServices: [Msn Messengers] msnmsgr.exe
    O4 - HKCU\..\RunOnce: [Win32 Configuration] videosd32.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{36AB2C6C-5594-45F4-BF36-3EC4E8AED5ED}: NameServer = 212.27.39.1 212.27.39.2

    et mon gestionnaire des tâches:

    Merci d'avance.
    0
    1. phil_telecom
       
      le pb c'est
      C:\WINDOWS\system32\lsass.exe
      il faut le supprimer puis un reboot apres avoir efface temporary internet file etc
      supprimer httpfilter.dll
      reboot avex mcafee version signature 4409
      salut
      0
  7. Utilisateur anonyme
     
    Re :-)

    vi! je vois ... à fixer dans l'hijack mais avec vérif. des occurences dans la BdR (voir sur les urlS des antivirus cités)

    C:\WINDOWS\System32\windll.exe <--backdoor xx
    http://securityresponse.symantec.com/avcenter/venc/data/backdoor.trynoma.html
    (sûrement d'autres alias)

    C:\WINDOWS\System32\WINBOOT32.EXE <--virus W32/Sdbot-HM pour Sophos
    http://www.sophos.com/virusinfo/analyses/w32sdbothm.html

    C:\WINDOWS\System32\videosd32.exe <--virus WORM_SDBOT.TT pour TrendMicro
    http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_SDBOT.TT

    C:\WINDOWS\System32\vpc32.exe <--virus Troj/KillAV-Q pour Sophos
    http://www.sophos.com/virusinfo/analyses/trojkillavq.html

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/<-me plait pas trop le search suivi de ton FAI (laisse-le si problème tu reprends et tu fix)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/ (rien à voir avec Free)

    les lignes 04 : 1) ctrl+alt+supp (pour arrêter les processus dans le gestionnaire des tâches et 2) on fixe dans l'hijack

    O4 - HKLM\..\Run: [Reg Services] WINBOOT32.EXE
    O4 - HKLM\..\Run: [MicrosoftUpdate] windll.exe (apparait déjà sur C: comme les autres, à mon avis RIEN à voir avec Microsoft Update)
    O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
    O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe
    O4 - HKLM\..\RunServices: [Reg Services] WINBOOT32.EXE
    O4 - HKLM\..\RunServices: [Microsoft Windows Updates] EXPLORER32.EXE
    O4 - HKLM\..\RunServices: [MicrosoftUpdate] windll.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
    O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe
    O4 - HKLM\..\RunOnce: [Win32 Configuration] videosd32.exe
    O4 - HKCU\..\Run: [MicrosoftUpdate] windll.exe
    O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
    O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe
    O4 - HKCU\..\RunOnce: [Win32 Configuration] videosd32.exe
    (les mm reviennent plusieurs fois .... bizarre)

    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

    les fix dans l'hijack suffiront-ils???

    ps : qu'est ce qu'il fout ton Norton 2004(en plus) ? je comprends tjrs pas lolll

    -fixe en mode sans échec
    -vider corbeille/cache internet
    -reboot
    -re-scan avec ton antivirus (dès fois que....)

    -re-hijack pour vérif (éventuellement)

    Le fichier Backup de l'Hijack sert de sauvegarde pour reverser les lignes en cas de problèmes

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  8. petitemarie Messages postés 2541 Date d'inscription   Statut Membre Dernière intervention   3
     
    Bonsoir.

    Quel est ton problème ?

    ///Marie
    0
  9. misteryac
     
    j'ai aussi ce VPC32.exe sur mon ordi.
    Le problème est dorénavant le suivant :

    J'ai réussis à supprimer ce fichier de la base de registre en mode sans échec et même en mode normal sans la restauration.
    J'ai passé ad-aware + a2free + NAV 2004 avec tts les updates et il ne m' a rien détecté.
    J'ai fait des tests en me connectant au web comme par exemple le gestionnaire des taches ou mes ports USB et là tout fctionnait donc je me suis dis YESSSSSSSSSSSSSSSSSS

    MAis en fait à chaque connexion internet ce fichier ce recré au bout de 5mn comme au bout de 20......

    Avez vous d'autres choses à me conseiller ? A part le formatage ?
    0
  10. bernie61
     
    salut
    http://www.liutilities.com/products/wintaskspro/processlibrary/vpc32/

    vpc32 est un process de Norton et Norton possède un système de protection qui recrée ce fichier

    certain virus prennent ce nom aussi !!
    a+
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    tous depend de l emplacement des fichier vpc.exe et vpc32.exe

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0