C koi le nom du virus?

lefin69 Messages postés 6 Statut Membre -  
 InfernO.vir -
Bonjour, est ce qq un pourrait me renseigner un virus qui attaque les photos seulement en format jpg et les rends fichiers cachés en les remplaçant par un fichier avec le même nom , mais en extension " .exe "de 53 ko de taille. même en me rendant sur options des dossiers et j'active l'affichage des fichiers et dossiers cachés, le virus m'y empêche. j'ai un antivirus ( NOD32 ESET Smart Security 3.0.672 ) qui n'arrive pas à le detecter.

QUE DOIS-JE FAIRE ? Remerciant d'avance ceux qui me réponderont, je souhaite bien des choses belles à ts les membres. Merci</gras>
Configuration: Windows XP
Internet Explorer 6.0

11 réponses

  1. InfernO.vir
     
    Slt,

    Conseiller le formatage, n'est pas digne d'un bon informaticien, a moins que le cas soit extreme.

    Or Bagle n'est pas une infection horrible :)

    Poste moi donc le rapport de findykill option 2 et ensuite on verra.

    1
  2. loloetseb Messages postés 5684 Statut Membre 174
     
    Ca ressemble a une infection baggle,tu telécharges des logiciels crackés?
    0
  3. loloetseb Messages postés 5684 Statut Membre 174
     
    Je t'ai posé cette question car c'est important avant de demarrer une desinfection de virer les cracks et keyloger car sinon l'infection ne pourra etre eradiquée.Y'a aucun jugement dans cette question.En plus,lors de la desinfection tes cracks apparaitront donc autant les virer maintenant
    0
  4. InfernO.vir
     
    Slt,

    En effet ca peut etre Bagle !mais loloetseb :

    1) Virer cracks et keygens et non keyloggers comme tu l'a dis precedemment !

    2) L'infection pourra etre eradiquée, sauf que si le ou les crack(s) infecté(s) ne sont pas viré(s), l'infection va etre régénérée, donc perte de temps pour les membres ici !

    ___________________________

    Clique sur ce lien
    http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
    pour télécharger le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.

    Double-clique sur HJTInstall.exe pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la license en cliquant sur le bouton "I Accept"

    Choisis l'option "Do a system scan and save a log file"

    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

    Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

    Colle le rapport que tu viens de copier sur ce forum

    Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

    Tutoriaux : http://perso.orange.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

    ____________________________

    ensuite :

    Telecharge FindyKill sur ton Bureau :

    http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

    --> Lance l installation avec les parametres par default

    --> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    --> Double clic sur le raccourci FindyKill sur ton bureau

    --> Au menu principal,choisis l'option 1 (Recherche)

    --> Poste le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. loloetseb Messages postés 5684 Statut Membre 174
     
    Salut inferno,j'ai pas dit qu'en virant les cracks l'infection serait eradiquée,j'ai dit que si elle ne virait pas les cracks" l'infection ne pourra etre eradiquée".. dans le cadre de la desinfection,bien sur.
    0
  7. InfernO.vir
     
    Bah justement, elle sera eradiquée mais temporairement, elle sera regenerée car les cracks porteurs de Bagle seront toujours sur le pc !

    0
  8. lefin69 Messages postés 6 Statut Membre
     
    Merci tout le monde pour l'aide précieuse! c'est un pc du travail, donc d'autres personnes que moi y ont accés.

    je vais voir dans les dossiers , s'il y a des cracks ou pas et les virer comme vous m'avez demandé.

    encore une fois merci !
    0
  9. InfernO.vir
     
    Lefin69 fait ce que je t'ai demandé au message numero #3

    0
  10. lefin69 Messages postés 6 Statut Membre
     
    Bonjour Inferno , Merci pour ton aide si précieuse !

    voila avec l'aide d'un ami qui s'y connait mieux que moi, il a viré tous les logiciels et applications douteux.

    j'ai suivi les étapes que tu m'as demandé et je te laisse les rapports :

    1) hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:07:40, on 20/01/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\ESET\ESET Smart Security\ekrn.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Xerox\Scan_Utility\xrxzipui.exe
    C:\WINDOWS\system32\xgelibgnd.exe
    C:\windows\system32\GuelmimG.bat
    C:\Program Files\ESET\ESET Smart Security\egui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Podmailing\Podmailing.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
    C:\Documents and Settings\uer\Bureau\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [XeroxScanUtility] C:\Program Files\Xerox\Scan_Utility\xrxzipui.exe 1
    O4 - HKLM\..\Run: [XeroxEndeavorBackgroundTask] C:\WINDOWS\system32\xgelibgnd.exe 1
    O4 - HKLM\..\Run: [SeePassword] C:\Program Files\SeePassword\SeePassword.exe
    O4 - HKLM\..\Run: [GuelmimG] c:\windows\system32\GuelmimG.bat
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
    O4 - HKCU\..\Run: [ares vista] "C:\Program Files\Ares Vista\AresVista.exe" -h
    O4 - HKCU\..\Run: [Podmailing] C:\Program Files\Podmailing\Podmailing.exe start-minimized
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9AE80939-C2B6-48A7-B17B-57C0B79C499C}: NameServer = 212.217.0.1,212.217.1.12
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    0
  11. lefin69 Messages postés 6 Statut Membre
     
    J'attends ta réponse Inferno !
    0
  12. InfernO.vir
     
    Slt,

    Desolé du retard mais moi aussi j'ai une vie, ne l'oublie a tout de meme...

    -Fait l'option 2 de findykill

    -Poste le rapport

    _______________

    -Poste un nouveau rapport hijackthis

    -Dis moi ou en sont tes problemes.

    0
    1. lefin69
       
      Nous sommes ces jours ci en vaccances; mais dés que je peux , je le ferai ! ce que m'a proposé l'informaticien :

      déplacer les donner sur un DD externe et formater le PC infecté!

      serait une bonne solution toi qui t'y connais en BAGLE ?
      0