Probleme aussi avec virus!!
Résolu/Fermé
A voir également:
- Probleme aussi avec virus!!
- Tinyurl virus - Forum Virus / Sécurité
- Svchost.exe virus - Guide
- Tlauncher virus ✓ - Forum Jeux vidéo
- Softonic virus - Forum Virus / Sécurité
- 6 proccesus svchost.exe Virus? ✓ - Forum Virus / Sécurité
21 réponses
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
22 janv. 2005 à 04:54
22 janv. 2005 à 04:54
Salut Figarro.
Redemarre en mode sans echec (tapote F5 ou F8 dès le démarrage de l'odinateur)
Lance HijackThis, coche et fixe les lignes suivantes:
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [Windows Compliant] katmln.exe
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\RunServices: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
http://www.sophos.com/virusinfo/analyses/w32rbotir.html
http://www.sophos.fr/virusinfo/analyses/w32rbottw.html
Affiche tous les fichiers et dossiers :
Clique sur démarrer, paramètres, panneau de configuration, option des dossiers, affichage:
Coche "Afficher les fichiers et dossiers cachés"
Décoche "Masquer les extensions dont le type est connu"
Décoche "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Valide par "Ok"
Efface les fichiers en gras:
C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\System32\katmln.exe
C:\WINDOWS\system32\defragfatx.exe
et vide la corbeille
Redemarre en mode sans echec (tapote F5 ou F8 dès le démarrage de l'odinateur)
Lance HijackThis, coche et fixe les lignes suivantes:
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [Windows Compliant] katmln.exe
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\RunServices: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
http://www.sophos.com/virusinfo/analyses/w32rbotir.html
http://www.sophos.fr/virusinfo/analyses/w32rbottw.html
Affiche tous les fichiers et dossiers :
Clique sur démarrer, paramètres, panneau de configuration, option des dossiers, affichage:
Coche "Afficher les fichiers et dossiers cachés"
Décoche "Masquer les extensions dont le type est connu"
Décoche "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Valide par "Ok"
Efface les fichiers en gras:
C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\System32\katmln.exe
C:\WINDOWS\system32\defragfatx.exe
et vide la corbeille
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
22 janv. 2005 à 15:17
22 janv. 2005 à 15:17
Salut Richard1
Studio.exe est un Ver (W32/Rbot-TW chez sophos).
Regarde bien le nom de la clef: [Sygate Personal Block]
Rien a voir avec Sygate, et rien a voir avec Winamp.
J'ai mis le lien:
http://www.sophos.fr/virusinfo/analyses/w32rbottw.html
qui décrit ce ver.
Studio.exe est un Ver (W32/Rbot-TW chez sophos).
Regarde bien le nom de la clef: [Sygate Personal Block]
Rien a voir avec Sygate, et rien a voir avec Winamp.
J'ai mis le lien:
http://www.sophos.fr/virusinfo/analyses/w32rbottw.html
qui décrit ce ver.
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
22 janv. 2005 à 15:39
22 janv. 2005 à 15:39
Salut Balltrap32
Dans les descriptifs de sophos, le dossier system de windows est utilisé pour dire system32 sur NT/2K/XP et system sur 9x/Me.
Et au vu du nombre de clefs et des noms qui n'ont rien à voir, je n'ai plus de doutes.
Dans les descriptifs de sophos, le dossier system de windows est utilisé pour dire system32 sur NT/2K/XP et system sur 9x/Me.
Et au vu du nombre de clefs et des noms qui n'ont rien à voir, je n'ai plus de doutes.
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
22 janv. 2005 à 15:45
22 janv. 2005 à 15:45
oui j avais pas penser a cela
comme certain editeur anti virus determine bien le dossier c est pour cela que je me suis poser la question
la chasse et le balltrap ma vrai passion
voir site perso dans profil
comme certain editeur anti virus determine bien le dossier c est pour cela que je me suis poser la question
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
22 janv. 2005 à 15:52
22 janv. 2005 à 15:52
Oui, moi aussi je me pose souvant la question avec certains descriptifs un peu ambigus. J'utilise parfois les bases des editeurs pour develloper un petit logiciel freeware (TaskBot, sur mon site, a partir du profil) qui compare les processus actifs à une base de donnée. Et souvant je doute sur certaines descriptions.
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
22 janv. 2005 à 15:55
22 janv. 2005 à 15:55
quelle genre de log
la chasse et le balltrap ma vrai passion
voir site perso dans profil
la chasse et le balltrap ma vrai passion
voir site perso dans profil
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
22 janv. 2005 à 16:00
22 janv. 2005 à 16:00
Un soft qui affiche les processus en cours d'utilisation (genre gestionnaire de tâches amélioré) et qui affiche un descriptifs des process s'il existe dans la base.
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
22 janv. 2005 à 16:03
22 janv. 2005 à 16:03
style le robot hijack mais avec juste les processus
cela pourrat etre bien utile
mais bonjour le boulot pour tous repertorier
la chasse et le balltrap ma vrai passion
voir site perso dans profil
cela pourrat etre bien utile
mais bonjour le boulot pour tous repertorier
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Salut
dans le genre celui ci est pas mal>>> http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
dans le genre celui ci est pas mal>>> http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
There's a thin line between Love and Hate....
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
22 janv. 2005 à 16:11
22 janv. 2005 à 16:11
oui, ca m'aide à reperer rapidement un process suspect. Mais cela n'empêche pas un Hijack ou un scan de virus. Juste un outil en plus qui met sur la piste.
(en gestionnaire de tâche amélioré, il y a aussi inxppect qui est bien. complet avec des infos sur la config. mais sans la base de donnée...)
effectivement, la bd est la partie la plus longue et jamais complête...
;-)
(en gestionnaire de tâche amélioré, il y a aussi inxppect qui est bien. complet avec des infos sur la config. mais sans la base de donnée...)
effectivement, la bd est la partie la plus longue et jamais complête...
;-)
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
22 janv. 2005 à 16:19
22 janv. 2005 à 16:19
je te propose aps certain site pour ta base de donner je suis certain que tu les as deja
la chasse et le balltrap ma vrai passion
voir site perso dans profil
la chasse et le balltrap ma vrai passion
voir site perso dans profil
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
22 janv. 2005 à 16:29
22 janv. 2005 à 16:29
Salut Wael#,
"Sans la base de donnée", je veux dire par la que j'essaie de donner un descriptif en plus que celui fournit par le fabriquant.
Genre les descriptions fournies par:
http://www.commentcamarche.net/processus/processus.php3
http://www.reger24.de/processes.php
http://www.answersthatwork.com
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.inoculer.com/processus.php3
http://www.eddys-domain.de/XP_Tips/Security/prozesse2.htm
"Sans la base de donnée", je veux dire par la que j'essaie de donner un descriptif en plus que celui fournit par le fabriquant.
Genre les descriptions fournies par:
http://www.commentcamarche.net/processus/processus.php3
http://www.reger24.de/processes.php
http://www.answersthatwork.com
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.inoculer.com/processus.php3
http://www.eddys-domain.de/XP_Tips/Security/prozesse2.htm
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
22 janv. 2005 à 16:32
22 janv. 2005 à 16:32
BallTrap34, Donne toujours les liens si tu as le temps, ca ne servira pas qu'à moi...
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
22 janv. 2005 à 16:41
22 janv. 2005 à 16:41
J'ai retrouvé l'adresse d' Inxppect:
http://3psilon.free.fr/index.php?pa=22
http://3psilon.free.fr/index.php?pa=22
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
22 janv. 2005 à 17:04
22 janv. 2005 à 17:04
http://www.windowsstartup.com/wso/browse.php?l=23&start=250&end=275
la chasse et le balltrap ma vrai passion
voir site perso dans profil
la chasse et le balltrap ma vrai passion
voir site perso dans profil
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
22 janv. 2005 à 17:06
22 janv. 2005 à 17:06
je l'avais pas celui là. merci.
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
22 janv. 2005 à 17:15
22 janv. 2005 à 17:15
de rien
tu as aussi celle ci ou tu peut voir si l exe est bon ou mauvais ainsi
que le hachage
http://research.pestpatrol.com/Fileinfo/QueryFileInfo.asp
la chasse et le balltrap ma vrai passion
voir site perso dans profil
tu as aussi celle ci ou tu peut voir si l exe est bon ou mauvais ainsi
que le hachage
http://research.pestpatrol.com/Fileinfo/QueryFileInfo.asp
la chasse et le balltrap ma vrai passion
voir site perso dans profil
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
22 janv. 2005 à 17:26
22 janv. 2005 à 17:26
Bien celui là,
Je ne connaissais pas cette partie du site avec les sommes MD5. C'est pas très courant. Et sur d'autres sites, elle ne sont pas complètes.
Je ne connaissais pas cette partie du site avec les sommes MD5. C'est pas très courant. Et sur d'autres sites, elle ne sont pas complètes.
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
23 janv. 2005 à 22:59
23 janv. 2005 à 22:59
Re'
Relance HijackThis, coche et fixe les entrées suivantes:
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
Efface les fichiers suivants:
C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\System32\katmln.exe
Pour le reste, ton log est propre, et le firewall bloque les attaques. Bref, il fait son travail.
Relance HijackThis, coche et fixe les entrées suivantes:
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
Efface les fichiers suivants:
C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\System32\katmln.exe
Pour le reste, ton log est propre, et le firewall bloque les attaques. Bref, il fait son travail.
22 janv. 2005 à 06:55
Juste comme celà, en passant: En supprimant studio.exe il aura quelques problèmes à faire fonctionner son Winamp...
Peut-être que oui, peut-être que non!!!
C'est juste un commentaire personnel et ça vaut ce que ça vaut.
Bien amicalement
Richard1 (Montréal, Canada)
22 janv. 2005 à 15:26
sophos dit qu il se met dans le dossier systeme et la il est dans le systeme32
je ne sais pas si c est une ommission de sophos ou etant donner que se n est pas le meme emplacement???????????????
gros doute??????
la chasse et le balltrap ma vrai passion
voir site perso dans profil
23 janv. 2005 à 22:49
JE te remercie enormement pour ton aide...j'Ai fais ce que tu m'As dit..j'Espere que cela fonctionnera...
voici mon nouveau log de hijackthis
Logfile of HijackThis v1.99.0
Scan saved at 16:46:12, on 2005-01-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\divers\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ierecherche.sympatico.ca
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sympatico.ca
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Service Internet Sympatico
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sympatico.ca
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106283094233
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{33962513-8164-4D18-94AB-0C0E1DBB2628}: Domain = sympatico.ca
O17 - HKLM\System\CCS\Services\Tcpip\..\{33962513-8164-4D18-94AB-0C0E1DBB2628}: NameServer = 192.168.2.1
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\system32\Imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Si tu vois autre chose que j'aurais du faire..gene toi pas...tu m'aides enormement...
Merci!!!