Sujet Précédent Sujet Suivant

Symptome d'un virus??

Fermé
greg3 Messages postés 106 Date d'inscription dimanche 20 février 2005 Statut Membre Dernière intervention 18 janvier 2006 - 20 févr. 2005 à 13:25
 erwan01 - 21 févr. 2005 à 12:20
Salut camarades du net,


j'ai un gros problème sur mon ordi: l'espace libre de mon disque dur C diminue sans arrêt alors que je n'y mets rien. Par exemple je regarde à un moment donné le volume d'espace libre disponible (25 Mo par ex) puis je regarde 20 secondes après et il me dit qu'il reste désormais 24, 8 Mo! J'ai beau libérer de l'espace en nettoyant le disque, l'espace libre rebaisse ausitôt.
Qu'est ce que ça signifie?! Est- ce le symptome d'un virus? Si oui, comment le repérer?

Pour info, je suis sur xp pro et j'ai téléchargé "antivir" mais il ne m'a rien signalé dans les scans de mes deux disques durs si ce n'est
des messages "warning!".

Je crains une dégradation de mon ordi dans les prochains jours si je ne trouve pas de solution...
A voir également:

18 réponses

Réponse 1 / 18
Utilisateur anonyme
20 févr. 2005 à 13:49
b'jour,

1) multiplie les scans antivirus online

http://www.ravantivirus.com (RAV Anti-Virus)
http://www.bitdefender.com/scan/licence.php (Bitdefender)
http://www.secuser.com (Secuser)
http://security.symantec.com/ssc/home.asp?j=1&langid=fr&venid=sym&plfid=23&pkj=TEBDENTKDDASYUCPDGG (Symantec)
http://www.pandasoftware.com/activescan/fr/activescan_principal.htm (Panda Software)
http://housecall.trendmicro.com (Trend Micro)

2) si le problème persiste/fait un log hijackthis


http://www.zebulon.fr/articles/HijackThis.php

(screenshot)
http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
http://www.ordi-netfr.org/tutorialhijackthis.html <- en français

- Le mettre dans 1 dossier ex: C:\HijackThis
- Le lancer -> Scan -> Save log
- Récupérer ce log/texte avec le bloc-notes.
- Le copier/coller ici


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 2 / 18
greg3 Messages postés 106 Date d'inscription dimanche 20 février 2005 Statut Membre Dernière intervention 18 janvier 2006
20 févr. 2005 à 17:16
Salut,


le lien housecall m'a permis de détecter 4 virus et un n'a pas pu être enlever. Voici ce qu'il me dit:
"unable to clean the file C:\WINDOWS\system32\manager32h.exe" because it is currently in use" J'ai fait deux fois le scan et le virus "WORM SPYBOT. NI" est apparu.

Autre chose: à l'allumage de mon ordi, fenêtre lsass qui apparait puis avertissemnt d'éteinte d'ordi dans la minute...J'ai donc retardé l'horloge de plusieurs heures (sur les conseils d'une personne qui a écrit dans un autre sujet). Quand je vais dans system 32, j'enlève lsass et le jette de la corbeille...il revient toujours.
On m'a conseillé windows update mais pas moyen de le mettre sur mon ordi.

Que dois- je faire?

Je rappelle les symptomes:
- disque dur C qui se fait bouffer l'espace libre en continu pour je ne sais quelle raison (j'ai beau nettoyéle disque, ca revient)
- fenêtre lsass qui apparait à chaque allumage de mon ordi (est- ce le virus sasser?)

J'espère avoir fourni des infos qui vous permettront de m'aider! HELP!
0
Utilisateur anonyme
20 févr. 2005 à 17:43
C:\WINDOWS\system32\manager32h.exe" because it is currently in use<-- normal ton virus est actif (sûrement en programmes du démarrage (msconfig) ; il ne peut le supprimer
c'est une variante du WORM_SPYBOT[.NI] (Windows LSASS vulnerability)
voir Windows update et appliquer les patchs
Microsoft Security Bulletin MS03-026
Microsoft Security Bulletin MS04-011
http://uk.trendmicro-europe.com/smb/security_info/ve_detail.php?Vname=WORM_SPYBOT.NI


c'est le seul processus douteux indentifié? tu n'as fais qu'un scan online???

j'enlève lsass et le jette de la corbeille<-- ça va pas la tête non!!
Process File: lsass or lsass.exe
Process Name: Local Security Authority Service
Description:
lsass.exe is a system process of the Microsoft Windows security mechanisms
Laisse ce programme, il se peut qu'il soit infecté par un virus, mais ce n'est pas la solution de le supprimer tu vas bouziller ton système!!

à faire impérativement

1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

2) affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[[!! coche!!]] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[[ !!décoche!!]] la case "Masquer les fichiers protégés du système d'exploitation" *

3) passe en mode sans échec :
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php

4) recherche et supprime
C:\ou/WINDOWS\ou/SYSTEM32\supprime-->manager32h.exe

5) redémarre en mode normal - vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)

6) réactive ta restauration système

commence par ça - ensuite poste un log hijack

@+


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 3 / 18
moltes
20 févr. 2005 à 17:33
slt

pour virer "manager32h.exe", fait ctrl+alt+suppr, va dans processus et si il y est clique dessus et clique sur terminer le processus puis supprime le fichier.

pour lsass, j'ai ce fichier mais pas de probleme...

a+
0
Réponse 4 / 18
greg3 Messages postés 106 Date d'inscription dimanche 20 février 2005 Statut Membre Dernière intervention 18 janvier 2006
20 févr. 2005 à 20:27
Re- salut,

suivant vos (BONS) conseils (merci DOLLY en particulier), j'ai pu enlever le manager32h.exe. En revanche mon disque dur C continu à perdre de la mémoire sans raison, bien qu'il en perde à un rythme moins élevé (il en est en ce moment à 196 Mo libres contre les 988 Ko qui me restaient en fin d'après- midi).

Pour la fenêtre "lsass- erreur d'application" qui apparâit en début d'allumage de mon ordi, j'ai appliqué une solution (provisoire?)proposée ailleurs, à savoir écrire "shutdown -a" dans "Executer" puis "OK". La fenêtre n'apparaît plus sur l'écran.

Je me suis reporté à tes liens, DOLLY, pôur les scan on line. RAV m'en a détecté un ("Gabot.ZO.Worn.dam[dièse]2") et l'a supprimé. Les autres n'ont rien détecté.

J'ai donc fait le "hijackthis.log". Ce qui suit est- ce bien ce que tu me demandais de joindre au message suite au scan?


Logfile of HijackThis v1.99.1
Scan saved at 20:10:23, on 20/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
D:\program files\AIM95\aim.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/ymsgr6/fr/*http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.numericable.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/fr/*http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/ymsgr6/fr/*http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/fr/*http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.numericable.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [Microsofts MediaScope] winmep.exe
O4 - HKLM\..\Run: [MS Manager32h Startup] manager32h.exe
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmep.exe
O4 - HKLM\..\RunServices: [MS Manager32h Startup] manager32h.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Mini-XP] C:\Program Files\Minimizer XP\Mini-XP.exe
O4 - HKCU\..\Run: [SuperRam] "C:\Program Files\SuperRam\SuperRam.exe"
O4 - HKCU\..\Run: [MS Manager32h Startup] manager32h.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\program files\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http:\\www.numericable.fr
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1077256560557
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

me demandais de coller à ce message?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
Utilisateur anonyme
20 févr. 2005 à 21:02

fixe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)


Les lignes 04
1) CTRL/ALT/SUPP : arrête ces programmes
2) tu repasses sur le log hijack et tu fixes (coches)
(autant de fix que de fois le programme s'affiche!)

O4 - HKLM\..\Run: [Microsofts MediaScope] winmep.exe
O4 - HKLM\..\Run: [MS Manager32h Startup] manager32h.exe
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmep.exe <--2 fix!
O4 - HKLM\..\RunServices: [MS Manager32h Startup] manager32h.exe
O4 - HKCU\..\Run: [MS Manager32h Startup] manager32h.exe <--3 fix!

tu es sûr qu'ils ne sont plus en C:\ Running processes: ?? tous les programmes des 04 ?? ça me semble bien court ce log
il manque aussi les lignes après 016 - au cas où tu fais une vérif de recherche et tu les supprimes - attention! la procédure de suppressions des fichiers est incontournable (se plaindre à Bilou pour le côté chiatik ^_^ )


*ferme TOUS les programmes
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
*effectue un nettoyage de disque <-- tu dois en avoir besoin (démarrer/program./accessoires/outils système/répondre OK à TOUT)

(screenshot)
http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
http://www.ordi-netfr.org/tutorialhijackthis.html <- en français


@+ bonne fin de soirée - je raccroche le bouzingue

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 6 / 18
greg3 Messages postés 106 Date d'inscription dimanche 20 février 2005 Statut Membre Dernière intervention 18 janvier 2006
21 févr. 2005 à 00:35
Mon disque dur C diminue toujours en espace libre malgré les bons conseils suivis (encore merci au passage). Par conséquent j'ai tenté la détection du (ou des ?) virus avec panda active scan on line et il m'a détecté un "logiciel espion" et "5 fichiers contaminés". Malheureusement il ne donne pas la solution et me convie de la chercher...

Voici ci- dessous mon log hijachthis:
Logfile of HijackThis v1.99.1
Scan saved at 00:25:39, on 21/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Temp\Répertoire temporaire 11 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/ymsgr6/fr/*http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.numericable.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/fr/*http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/ymsgr6/fr/*http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/fr/*http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\program files\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http:\\www.numericable.fr
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1077256560557
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

HELP! Je deviens fou, ça fait pile 24 heures que je cherche, en vain, de me débarrasser de cette intrusion dans mon disque dur C!
0
Réponse 7 / 18
greg3 Messages postés 106 Date d'inscription dimanche 20 février 2005 Statut Membre Dernière intervention 18 janvier 2006
21 févr. 2005 à 03:11
J'ai tenté de m'initier au decryptage log hijackthis: je ne percois rien de louche à mon dernier...Je commence vraiment à desésperer: ou est ce fichu virus espion?! (voir plus haut)

J'ai installé un antivirus "clam wim, version 7" et cela fait plus d'une heure qu'il scanne mon disque dur C. Je dis quoi demain matin (ou plutot tout à l'heure, apres une courte nuit, aux alentours de 8h 45) en espérant que l'antivirus aura viré ce foutu espion qui, je répète, semble être la cause de mes soucis.

Précision supplémentaire quant à un problème qui a précédé le symptome du (ou des?) virus(espace libre disque dur C en constante baisse sans que j'y mette quoique ce soit et malgré nettoyageS; pour info, il y a une semaine mon espace libre était encore de plusieurs Gigas!): voici la fenêtre en détail qui apparaît à chaque allumage d'ordi (je ne sais si c'est un problème qui a permis l'intrusion de virus...):
"Issas.exe- Erreur d'application
L'instruction à "0x0083f878" emploie l'adresse mémoire "0x00000023". La mémoire ne peut pas être "read"
Cliquer sur OK pour terminer le programme
Cliquer sur annuler pour déboguer le programme"
Quand je clique, l'ordi s'éteint dans la minute suivante (décomptage)...et je retardais donc mon horloge de quelques heures. Puis plus récemment, j'ai inscrit "shutdown -a" dans "executer" puis "OK".
Ca n'a pas empéché la fenêtre "Isass.exe- erreur d'application" d'apparâitre!

Merci de bien vouloir me prêter main forte dans cette lutte acharnée contre virus et qui dure depuis plus de 24 heures (quasiment non stop)!

A plus.
0
Réponse 8 / 18
Utilisateur anonyme
21 févr. 2005 à 08:34
d'abord ton système n'est pas à jour et en plus tu n'as aucun FIREWALL!! comment veux-tu que ton système survive encore longtemps à ces attaques

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

= windows update

depuis le SP2, il y a eu + de 10 mises à jour de correctifs de sécurité

regarde le nombre de failles répertoriées
http://www.us-cert.gov/cas/bulletins/SB05-019.html
http://www.us-cert.gov/cas/bulletins/SB05-026.html


les dernières mises à jour critiques
http://www.microsoft.com/technet/security/Bulletin/MS05-001.mspx
http://www.microsoft.com/technet/security/Bulletin/MS05-002.mspx
http://www.microsoft.com/technet/security/Bulletin/MS05-003.mspx

+ les 2 patches plus haut sur le site de Trend concernant : Windows LSASS vulnerability

active le parefeu d'XP par défaut ensuite fait tes mises à jour, si tu installes le SP2 tu as le firewall inclus, désinstalle-le ensuite et prend un firewall plus performant, type : Kerio Personal Firewall , très facile à configurer ou ZoneAlarm qui est son clone

Le pare-feu de Windows XP
http://www.sebsite.org/article.php3?id_article=92




*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
greg3 Messages postés 106 Date d'inscription dimanche 20 février 2005 Statut Membre Dernière intervention 18 janvier 2006
21 févr. 2005 à 09:55
Bonjour,*

j'ai fait ce que tu m'as dis mais échec pour installation des dernières mises à jour et je ne sais pourquoi! J'ai essayé deux fois et 2 fois échec.

"2 patches plus haut sur trend...": je ne trouve pas "windows Lsass vulnerability"

A plus
Greg.

PS: pare feu (enfin! si je te comprend bien) mis.
0
Réponse 9 / 18
Utilisateur anonyme
21 févr. 2005 à 10:03
1) active le parefeu d'xp par défaut PLEASE!
2) Mise à jour des produits/Windows update <-- passe par là!
http://www.microsoft.com/france/


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 10 / 18
greg3 Messages postés 106 Date d'inscription dimanche 20 février 2005 Statut Membre Dernière intervention 18 janvier 2006
21 févr. 2005 à 11:03
Et bien mes chere-e-s camarades du net, je pense que je vais abdiquer. Malgré vos conseils (merci dolly) je n'ai pas pu identifier la cause de la perte continuelle (malgré mes nettoyages, recherches de virus, etc) d'espace libre sur mon disque dur C !

Je reste inquiété par le scan on line de panda qui me disait présence d'un logiciel espion. Peut- etre est- ce dernier qui crée tant de soucis ou alors un autre virus qui n'a pas été détecté?

En tout cas je retiens la nécessité du pare-feu, des mises à jour régulières, de bonS antivirus (j'avais "antivir"mais il ne devait pas suffire et peut- etre pas efficace non plus), etc

Je ne trouve aucune solution à mon problème. Vais- je devoir reformater mon disque dur C pour virer ce qui s'apparente probablement à la présence d'un virus? On m' a reformaté mon disque dur C il y a quelques temps, tout allait mieux et puis HOP l'espace libre de mon disque dur C rechute sans raison. Ce peu d'espace libre avait occasioné avant mon reformatage du disque C, de sérieux problèmes pour navigation internet, traitement de texte, etc.

salut et peut- etre à plus.
0
Réponse 11 / 18
Utilisateur anonyme
21 févr. 2005 à 11:21
ça donne quoi de remettre la pendule à l'heure exacte (essaye!) après avoir activé le parefeu et fait les mises à jour Microsoft ? tu en où des mises à jour, tu as installé le SP2 ???

quel logiciel espion détecté par Panda? situé OU ??

essaye
http://www.ravantivirus.com (RAV Anti-Virus)

et copie/colle le rapport d'analyse



*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 12 / 18
greg3 Messages postés 106 Date d'inscription dimanche 20 février 2005 Statut Membre Dernière intervention 18 janvier 2006
21 févr. 2005 à 11:28
La fenêtre lsass n'apparâit plus et plus besoin de mettre l'horloge depuis que j'ai écrit "shutdown -a" dans éxécuter. Mais en tout cas je croise les doigts car la fenêtre "lsass.exe- erreur d'application" n'apparait plus depuis reboot ordi.

Pour les mises à jour, impossible d'en mettre. SP 2 non plus. (échec à chaque fois).

Le pare feu a été mis.
0
Réponse 13 / 18
Utilisateur anonyme
21 févr. 2005 à 11:45
il est authentique ton XP ???

voir ici pour les échecs W.Update
http://www.d2i.ch/pn/depannage/windows_update.html

et remet ta pendule à l'heure aussi :-) parmi les causes il peut y avoir :

Vérifier la date système (horloge dans la zone de notification). Si le système a été remis à une date antérieure, remettre la date courante.




*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 14 / 18
greg3 Messages postés 106 Date d'inscription dimanche 20 février 2005 Statut Membre Dernière intervention 18 janvier 2006
21 févr. 2005 à 11:48
Horloge et date au point.

Je te tiens au courant de 'évolution dans la semaine car je suis étudiant et quitte le domicile parental jusque ce week- end. Ma famille me tient elle- meme au courant si évolution.

En attendant je vais sur le lien que tu veins de me mettre.

A plus.
0
Réponse 15 / 18
greg3 Messages postés 106 Date d'inscription dimanche 20 février 2005 Statut Membre Dernière intervention 18 janvier 2006
21 févr. 2005 à 11:55
Dernière précision avant de partir de chez moi (et me remettre de ce terrible week- end informatique!):

Pour windows SP 2:téléchargement bon mais problème pour mise en application, voici ce qu'on me dit:
"setup cannot update your windows xp files because the language installed on your system is different from the update language"
0
Réponse 16 / 18
greg3 Messages postés 106 Date d'inscription dimanche 20 février 2005 Statut Membre Dernière intervention 18 janvier 2006
21 févr. 2005 à 11:58
Derniière précision avant de partir de chez moi:

Pour windows SP 2 (que tu m'as conseillé), téléchargement OK mais problème pour application. Voici ce qu'on me dit:
"Setup cannot update your windows xp files because the language installed on your system is different from the update language".

Je présume avoir encore fait une connerie ou alors mon xp semble en effet bizarre...

A plus.

Bonne journée dolly!
0
Réponse 17 / 18
Utilisateur anonyme
21 févr. 2005 à 12:16
tu as XP en français? tu as mis le sp2 d'une autre langue? il est bizarre comment ??

qu'est ce que tu as fais encore? tu étais bien sur Microsoft France?
Tu dois obtenir ce screen
http://www.pcinpact.com/actu/news/Le_SP2_en_francais_sur_Windows_Update_disponible.htm


Remettre Windows update en Français
Si la page de Windows Update s'affiche dans une autre langue que le français, contrôler que le français (standard, ou suisse, ou belge ou québécois) est défini dans les options Internet:

Sous l'onglet Général du menu Outils/Options Internet..., cliquer sur le bouton Langues. Le français doit y figurer, comme première entrée de la liste. L'ajouter si, pour des raisons non encore élucidées, sa mention a été supprimée

éventuellement tu le désinstalles et tu le réinstalles à nouveau

supprimer le SP2
http://www.laboratoire-microsoft.org/t/5380/



*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 18 / 18
erwan01
21 févr. 2005 à 12:20
Salut Dolly,
tu vas nous faire une crise de foie si ça continu ... peut-être à cause de trop d'abus ... de chocolat !
Tu vas bien sinon ?
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Processeur HS ?
Klynt -
josse -

11 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses