virus sysupd.ll + mode ss echec inaccessible Fermé

Question

Salut
j ai un virus (download.trojan) sur mon pc que Norton identifie dans le fichier (C:\WINDOWS\isrvs\sysupd.dll) mais je ne peux pas l'enlever.
j ai essayer de demarrer en mode sans echec, mais je ne peux pas (seul le demarrage normal marche)
je ne sais pas quoi faire pour virer ce Put... de virus ...
merci de me venir en aide
je joins le log HijackThis

Fred

Logfile of HijackThis v1.99.1
Scan saved at 17:35:18, on 22/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\regprot\regprot.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\Documents and Settings\fred\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.uottawa.ca:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [RegProt] c:\regprot\regprot.exe /start
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2F94B5D-9791-4CC9-99BA-4EB2C8CDB7C7}: Domain = lmtg.obs-mip.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = free.fr,lmtg.obs-mip.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = free.fr,lmtg.obs-mip.fr
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = free.fr,lmtg.obs-mip.fr
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = free.fr,lmtg.obs-mip.fr
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe

Teddy-Bear · Answer

Bonsoir
Si present dans le gestionnaire de tache stop l'exec suivant

ffisearch.exe

Ensuite fixe les lignes suivantes dans Hijackthis

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe

Ellimine manuellement l'exec suivant

ffisearch.exe

Teddy-Bear · Answer

Autre chose ....Installe Firewall   (zone alarm ou sygate ....les deux sont gratuits)

Fred · Answer

Re le pb  c'est que dans le gestionnaire des taches il n y a pas le processus ffisearch.exe  donc je ne sais pas comment l arreter as tu une autre idée pour me sauver ?merci Fred

Teddy-Bear · Answer

Re ellimine le manuellement:C:\WINDOWS\isrvs\ffisearch.exe

Fred · Answer

je ne peux pas l enlever,  jai un message qui me dit  acces refusé Fred

moe · Answer

salut fred,teddy

Il a deja essayé, voir:
http://www.commentcamarche.net/forum/affich-1317485-sysupd-dll-infecte-et-impossible-a-virer

irsv c'est une teigne, se laisse pas avoir facilement

essaye en faisant ceci:

Afficher les dossiers cachés et fichiers système:
panneau de configuration > options des dossiers > onglet affichage

cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"

Demarrer>executer >tape regedit

dans les clés:

HKEY_CLASSES_ROOT\clsid supprime=> {5b4ab8e2-6dc5-477a-b637-bf3c1a2e5993}

HKEY_CLASSES_ROOT\clsid supprime=> {950238fb-c706-4791-8674-4d429f85897e}
HKEY_CLASSES_ROOT\clsid supprime=> mfiltis

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\ext\clsid\ supprime=> {5b4ab8e2-6dc5-477a-b637-bf3c1a2e5993}

HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root supprime=> legacy_delprot

HKEY_LOCAL_MACHINE\system\currentcontrolset\services supprime=>delprot

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run supprime=>
"desktop search"=C:\WINDOWS\isrvs\desktop.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run supprime=>
"ffis"=C:\WINDOWS\isrvs\ffisearch.exe

Redemarre ton pc

Puis dans demarrer>executer tu fais un copier coller des lignes ci dessous(une après l'autre) et tu valide

regsvr32 /u C:\Windows\isrvs\msfiltis.dll
regsvr32 /u C:\Windows\isrvs\msdbhk.dll
regsvr32 /u C:\Windows\isrvs\sysupd.dll

Ensuite dans C:\windows et/ou C:\windows\system32
tu recherche et supprime:(si présent)

delprot.ini
delprot.log
desktop.exe
isrvs <= le dossier

lance hijackthis et fixe:
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe

Fais le menage dans:
C:\Documents and Settings\pour chaques utilisateur\Local Settings\Temp\<= supprime tous les fichiers à l'intérieur (pas les dossiers).
C:\WINDOWS\Temp
et dans:
C:\WINDOWS\Prefetch<= supprime tous les fichiers à l'intérieur sauf layout.ini

Panneau de configuration> options internet> supprimer les fichiers
cocher "supprimer le contenu hors connexion" et valider ok

Espérons que ca en viendra à bout !!
Ensuite redemarre et reposte un log

Fred · Answer

re

je ne peux pas supprimer les lignes suivantes :
HKEY_CLASSES_ROOT\clsid supprime=> {5b4ab8e2-6dc5-477a-b637-bf3c1a2e5993}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\ext\clsid\ supprime=> {5b4ab8e2-6dc5-477a-b637-bf3c1a2e5993}

HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root supprime=> legacy_delprot

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run supprime=>
"ffis"=C:\WINDOWS\isrvs\ffisearch.exe

et celle la n y est pas : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run supprime=>
"desktop search"=C:\WINDOWS\isrvs\desktop.exe

je crois que je suis vraiment dans la mer..
est ce que vous pensez à autre chose ??
Fred

moe · Answer

salut fredessaye de faire dabord les fixs avec hijackthis et ensuite reessaye de supprimer les clés dans le registre.

Fred · Answer

CA Y EST
je crois que ça à marcher j ai pu virer les fichiers.
Merci à Moe et Teddy
je vous laisse le log pour vérifier si tout va bien.
quels logiciels me conseillez vous pour eviter tout ces pbs ?
merci encore
Fred

Logfile of HijackThis v1.99.1
Scan saved at 19:31:06, on 22/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\regprot\regprot.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\fred\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.uottawa.ca:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [RegProt] c:\regprot\regprot.exe /start
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2F94B5D-9791-4CC9-99BA-4EB2C8CDB7C7}: Domain = lmtg.obs-mip.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = free.fr,lmtg.obs-mip.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = free.fr,lmtg.obs-mip.fr
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = free.fr,lmtg.obs-mip.fr
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = free.fr,lmtg.obs-mip.fr
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Teddy-Bear · Answer

Content pour toi Un seul logiciel pour ne plus avoir de probleme....sacrifier Internet explorer sur l'hotel des horreurs....au benefice de FIREFOX 1.0Et n'oubli pas d'installer un FIREWALL.....

moe · Answer

salut

Ca a l'air ok, faudra voir apres plusieurs redemarrage...
Je suis tout à fait d'accord avec teddy, firefox ou mozilla en navigateurs et IE seulement pour les mises à jours windows.
Ca t'évitera pas mal de problemes...

Virus sysupd.ll + mode ss echec inaccessible

11 réponses

Discussions similaires