Virus inconnu

Question

Bonsoir,je ne mets pas mon probleme sur le forum Vir... En effet,en étant sur MSN j'ai recu un fichier que j'ai ouvert (jenifer lopes.scr).Apres l'avoir ouver,le virus a été envoyé a tous mes contacts,j'ai donc quitté MSN le + vite possible.J'aimerai aller sur Syman(...) pour voir les MAJ et voir si ce V.... est nouveau, mais des que je tape le mot V... ou je tente d'ouvrir un site avec ce mot, l'explorateur se ferme immédiatement.Ce V... est t'il nouveau?pouvez vous m'aider et regarder sur des sites adéquates ce qu'il en est??Merci beaucoup et SVP ne déplacer pas mon message.
Autre symptome du V:
-impossible d'ouvrir L'anti
-impossible de restaurer
Merci

Afficher la suite

momomodu13 · Answer

slt est ce que ton antiverus et à joures tu sur le pack sp2ferme la connexion internetensuite redemarre ton pc et ouvreton antiveruset scan entierement ton pcà tout desuite

Appui · Answer

Je l'ai déja fais, ca n'y a rien fait,ce vérus a lair vraiment devastateur. Lorsque windows est ouvert,un fichier txt apparait avec un message du genre: fuck... Non je ne suis pas sur SP2,de plus impossible d'ouvrir Norton,il se ferme immédiatement...

momomodu13 · Answer

va dans le forum virus/securité merci

Appui · Answer

Le probleme c'est que lorsque je tente d'ouvrir un lien traitant des virus l'explorateur se ferme.Je suis dans une impasse...Merci

Sympa · Answer

Soiressaie :Déconnecté du NetDémarrer en mode sans échec (F8) pendant le démarrage, puis dans ce mode, lance ton exploration antivirus@+

Appui · Answer

Déja fait l'antivirus n'a rien trouvé. Il me semble que la case "Charger les services Norton" soit désactivé et impossible de la cocher. Avez vous d'autres solution??merci!

Sympa · Answer

ReTu dois avoir le CD de ton NORTON. Peux-tu exécuter NORTON depuis ce CD ?@+

momomodu13 · Answer

lance une reinstallation par dessus de norton anti verus

Appui · Answer

Impossible d'ouvrir le Cd. Lorsqu'il s'éxécute,la fenetre se ferme immédiatement.De + ca a fait planter mon PC.Voici le message du démarrage: Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fuckingSaving the world from Bropia, the world n33ds saving from you!'-S-K-Y-'-D-E-V-I-L-'Merci

ohmega68 · Answer

essaie  cette solution    -     te deconnecter,   demarrer en mode sans echec,   desactiver  la restauration systeme  au prealable.... scan ton pc    en mode sans echec    ,si ton av est a jour ca ne devrait pas poser de probl.             note  bien  le nom du virus..   ( il va laisser des traces  dans la base de registre)   n oublie  pas de reactiver la restauration   systeme     une fois    termine      bon courage

Appui · Answer

J'ai trouvé un site sur google sur lequel serait décrit le virus que j'ai: www.sophos.fr/virusinfo/analyses/w32assiralb.html  Pouvez vous me dire ce qu'il dise la dessus??Merci

momomodu13 · Answer

le message dit foutumais bon esperant qu il y a un moyen de nettoyer casinon formatage pour une reinstallationet ensuite vider totalement ta boite mail sans lire aucun message

Appui · Answer

le probleme c'est que l'anti-virus est désactivé, je ne risque pas de désactiver la restauration car il me dit: la restauration a  été miise hors tension par la stratégie de groupe. Pour la mettre sous tension,contactez votre administrateur domaine. Et en ce qui concerne le scan en sans échec je l'ai fait aussi.Merci

Appui · Answer

Il y'a pas un outil pour w32assiralb sur symantec.com??Merci encore

Appui · Answer

Y'a quelqu'un SVP??Merci :)

momomodu13 · Answer

je fais une recherche en se momentne t'inquiete pas on y arriveramerci

sad · Answer

as tu essayé accéder à Panda scan, c'est un antivirus en ligne qui via un activeX te nettoie ta vérole ?Panda utilise un moteur générique très performant.

Appui · Answer

Super gentil!! Je te remercie,moi aussi je fais des recherches mais c'est assez dificile à cause de l'explorateur qui se ferme chaque fois.Merci beaucoup en tout cas

appui · Answer

Bonsoir Sad,pour ce qui est de Panda Scan,impossible d'y acceder car lorsque je fais une recherche concernant viru s/antiviru s , mon explorateur se ferme. Merci Quand Meme :)

moe · Answer

salut appui

télécharge hijackthis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php

Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lancez le puis:
clic sur "do a system scan and save logfile"
faire un copier coller du log entier sur le forum.

Appui · Answer

Ok,voila: Logfile of HijackThis v1.99.1Scan saved at 22:40:36, on 07/03/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\NavNT\defwatch.exeC:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exeC:\Program Files\NavNTtvscan.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\formatsys.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Analog Devices\SoundMAX\SMTray.exeC:\Program Files\NavNT\vptray.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\System32\RUNDLL32.exeC:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exeC:\Program Files\D-Tools\daemon.exeC:\WINDOWS\System32\MsgSys.EXEC:\WINDOWS\System32undll32.exeC:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\yo.NOM_ORDINATEUR\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO1 - Hosts: 64.233.167.104 www.symantec.comO1 - Hosts: 64.233.167.104 www.sophos.comO1 - Hosts: 64.233.167.104 www.mcafee.comO1 - Hosts: 64.233.167.104 www.viruslist.comO1 - Hosts: 64.233.167.104 www.f-secure.comO1 - Hosts: 64.233.167.104 www.avp.comO1 - Hosts: 64.233.167.104 www.kaspersky.comO1 - Hosts: 64.233.167.104 www.networkassociates.comO1 - Hosts: 64.233.167.104 www.ca.comO1 - Hosts: 64.233.167.104 www.my-etrust.comO1 - Hosts: 64.233.167.104 www.nai.comO1 - Hosts: 64.233.167.104 www.trendmicro.comO1 - Hosts: 64.233.167.104 www.grisoft.comO1 - Hosts: 64.233.167.104 securityresponse.symantec.comO1 - Hosts: 64.233.167.104 symantec.comO1 - Hosts: 64.233.167.104 sophos.comO1 - Hosts: 64.233.167.104 mcafee.comO1 - Hosts: 64.233.167.104 liveupdate.symantecliveupdate.comO1 - Hosts: 64.233.167.104 viruslist.comO1 - Hosts: 64.233.167.104 f-secure.comO1 - Hosts: 64.233.167.104 kaspersky.comO1 - Hosts: 64.233.167.104 kaspersky-labs.comO1 - Hosts: 64.233.167.104 avp.comO1 - Hosts: 64.233.167.104 networkassociates.comO1 - Hosts: 64.233.167.104 ca.comO1 - Hosts: 64.233.167.104 mast.mcafee.comO1 - Hosts: 64.233.167.104 my-etrust.comO1 - Hosts: 64.233.167.104 download.mcafee.comO1 - Hosts: 64.233.167.104 dispatch.mcafee.comO1 - Hosts: 64.233.167.104 secure.nai.comO1 - Hosts: 64.233.167.104 nai.comO1 - Hosts: 64.233.167.104 update.symantec.comO1 - Hosts: 64.233.167.104 updates.symantec.comO1 - Hosts: 64.233.167.104 us.mcafee.comO1 - Hosts: 64.233.167.104 liveupdate.symantec.comO1 - Hosts: 64.233.167.104 customer.symantec.comO1 - Hosts: 64.233.167.104 rads.mcafee.comO1 - Hosts: 64.233.167.104 trendmicro.comO1 - Hosts: 64.233.167.104 grisoft.comO1 - Hosts: 64.233.167.104 sandbox.norman.noO1 - Hosts: 64.233.167.104 www.pandasoftware.comO1 - Hosts: 64.233.167.104 uk.trendmicro-europe.comO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dllO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exeO4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [dnssvc32] dnssvc32.exeO4 - HKLM\..\Run: [MsConfigs] mswindow.exeO4 - HKLM\..\Run: [avnort] C:\WINDOWS\msmbw.exeO4 - HKLM\..\Run: [ltwob] C:\WINDOWS\System32\formatsys.exeO4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMainO4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe"  /dontopenmycardsO4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033O4 - HKLM\..\Run: [serpe] C:\WINDOWS\System32\serbw.exeO4 - HKLM\..\RunServices: [dnssvc32] dnssvc32.exeO4 - HKLM\..\RunServices: [MsConfigs] mswindow.exeO4 - HKLM\..\RunServices: [avnort] C:\WINDOWS\msmbw.exeO4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\System32\formatsys.exeO4 - HKLM\..\RunServices: [serpe] C:\WINDOWS\System32\serbw.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exeO4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cabO16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cabO16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/Common/npwwg.cabO16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cabO16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07be542f31ac91914215/netzip/RdxIE601_fr.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cabO16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} (WTHoster Class) - http://install.wildtangent.com/bgn/partners/nike/nikefz4/install.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cabO16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cabO16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{06E0C12C-A3FA-4B53-A3F7-6ECC6AE6E461}: NameServer = 192.168.0.1O17 - HKLM\System\CCS\Services\Tcpip\..\{84FDBE34-E2A5-4A46-BA24-A80D64B6BDCF}: NameServer = 212.27.32.176 212.27.39.1O17 - HKLM\System\CS1\Services\Tcpip\..\{06E0C12C-A3FA-4B53-A3F7-6ECC6AE6E461}: NameServer = 192.168.0.1O17 - HKLM\System\CS2\Services\Tcpip\..\{06E0C12C-A3FA-4B53-A3F7-6ECC6AE6E461}: NameServer = 192.168.0.1O17 - HKLM\System\CS3\Services\Tcpip\..\{06E0C12C-A3FA-4B53-A3F7-6ECC6AE6E461}: NameServer = 192.168.0.1O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dllO23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exeO23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exeO23 - Service: MsConfigs (msconfigs) - Unknown owner - C:\WINDOWS\System32\mswindow.exe" -service (file missing)O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNTtvscan.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Appui · Answer

Je dois partir.Je reviendrai demain en éspérant que votre aide m'aura permis de résoudre le probleme. En tout cas merci tout le monde pour avoir passer du temps à m'aider. A demain :)

moe · Answer

Salut

Avant de faire quoi que ce soit, important:

-> Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"
valides Ok

Puis:
- Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)

---------------------------------------------

--== 1 ==--

Vérifie si ce ou ces procéssus apparaissent dans le gestionnaire des

taches.(CTRL+ALT+SUPPR)
S'ils sont présent: clic droit dessus puis clic sur "terminer le
processus"

formatsys.exe

--== 2 ==--

- Lance hijackthis et Fixe:
(cocher au début de chaques lignes valider avec fix checked)

O1 - Hosts: 64.233.167.104 www.symantec.com
O1 - Hosts: 64.233.167.104 www.sophos.com
O1 - Hosts: 64.233.167.104 www.mcafee.com
O1 - Hosts: 64.233.167.104 www.viruslist.com
O1 - Hosts: 64.233.167.104 www.f-secure.com
O1 - Hosts: 64.233.167.104 www.avp.com
O1 - Hosts: 64.233.167.104 www.kaspersky.com
O1 - Hosts: 64.233.167.104 www.networkassociates.com
O1 - Hosts: 64.233.167.104 www.ca.com
O1 - Hosts: 64.233.167.104 www.my-etrust.com
O1 - Hosts: 64.233.167.104 www.nai.com
O1 - Hosts: 64.233.167.104 www.trendmicro.com
O1 - Hosts: 64.233.167.104 www.grisoft.com
O1 - Hosts: 64.233.167.104 securityresponse.symantec.com
O1 - Hosts: 64.233.167.104 symantec.com
O1 - Hosts: 64.233.167.104 sophos.com
O1 - Hosts: 64.233.167.104 mcafee.com
O1 - Hosts: 64.233.167.104 liveupdate.symantecliveupdate.com
O1 - Hosts: 64.233.167.104 viruslist.com
O1 - Hosts: 64.233.167.104 f-secure.com
O1 - Hosts: 64.233.167.104 kaspersky.com
O1 - Hosts: 64.233.167.104 kaspersky-labs.com
O1 - Hosts: 64.233.167.104 avp.com
O1 - Hosts: 64.233.167.104 networkassociates.com
O1 - Hosts: 64.233.167.104 ca.com
O1 - Hosts: 64.233.167.104 mast.mcafee.com
O1 - Hosts: 64.233.167.104 my-etrust.com
O1 - Hosts: 64.233.167.104 download.mcafee.com
O1 - Hosts: 64.233.167.104 dispatch.mcafee.com
O1 - Hosts: 64.233.167.104 secure.nai.com
O1 - Hosts: 64.233.167.104 nai.com
O1 - Hosts: 64.233.167.104 update.symantec.com
O1 - Hosts: 64.233.167.104 updates.symantec.com
O1 - Hosts: 64.233.167.104 us.mcafee.com
O1 - Hosts: 64.233.167.104 liveupdate.symantec.com
O1 - Hosts: 64.233.167.104 customer.symantec.com
O1 - Hosts: 64.233.167.104 rads.mcafee.com
O1 - Hosts: 64.233.167.104 trendmicro.com
O1 - Hosts: 64.233.167.104 grisoft.com
O1 - Hosts: 64.233.167.104 sandbox.norman.no
O1 - Hosts: 64.233.167.104 www.pandasoftware.com
O1 - Hosts: 64.233.167.104 uk.trendmicro-europe.com

O4 - HKLM\..\Run: [dnssvc32] dnssvc32.exe
O4 - HKLM\..\Run: [MsConfigs] mswindow.exe
O4 - HKLM\..\Run: [avnort] C:\WINDOWS\msmbw.exe
O4 - HKLM\..\Run: [ltwob] C:\WINDOWS\System32\formatsys.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain

--== 3 ==--

- Rechercher et supprimer si présent:

cdaEngine0400.dll
dnssvc32.exe
mswindow.exe
C:\WINDOWS\msmbw.exe
C:\WINDOWS\System32\formatsys.exe
C:\Program Files\WildTangent<= le dossier

Ensuite:

Vide tes fichiers temporaires internet et les cookies:

- panneau config> options internet> supprimer les fichiers, coche
supprimer le contenu hors connection et valide ok
- panneau config> options internet> supprimer les cookies

Les fichiers temporaires:

- C:\Document and setting\pour tous les dossiers\Local setting \Temp <=supprimer les fichiers à l'intérieur (pas les dossiers)

- C:\Document and setting\pour tous les utilisateurs\Mes documents récents <=supprimer les fichiers à l'intérieur sauf desktop.ini

- C:\Windows\Temp <=supprimer les fichiers à l'intérieur.

- C:\WINDOWS\Prefetch <=supprimer les fichiers à l'intérieur sauf layout.ini

- Vide la poubelle

-----------------------------

Redemarre normalement et reposte un log hijack pour vérifier l'évolution

Ne pas oublier après les manips de recocher " masquer les fichiers
protégés du système" dans les options des dossiers

a+

sad · Answer

j'ai trouvé un lien avec le mode d'emploi pour un décrassage à la manio :http://forum.gladiator-antivirus.com/index.php?showtopic=23892ça à l'air de marcher !!!bon courage !

appui · Answer

Merci je vais faire ca!A++

Apui · Answer

Re. La manip de moe n'a rien fait.voici le log:Logfile of HijackThis v1.99.1Scan saved at 23:26:09, on 07/03/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\NavNT\defwatch.exeC:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exeC:\Program Files\NavNTtvscan.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\MsgSys.EXEC:\WINDOWS\System32\serbw.exeC:\Program Files\Analog Devices\SoundMAX\SMTray.exeC:\Program Files\NavNT\vptray.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\QuickTime\qttask.exeC:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exeC:\Program Files\D-Tools\daemon.exeC:\WINDOWS\System32undll32.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exeC:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\WINDOWS\System32\wuauclt.exeC:\Documents and Settings\yo.NOM_ORDINATEUR\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO1 - Hosts: 64.233.167.104 www.symantec.comO1 - Hosts: 64.233.167.104 www.sophos.comO1 - Hosts: 64.233.167.104 www.mcafee.comO1 - Hosts: 64.233.167.104 www.viruslist.comO1 - Hosts: 64.233.167.104 www.f-secure.comO1 - Hosts: 64.233.167.104 www.avp.comO1 - Hosts: 64.233.167.104 www.kaspersky.comO1 - Hosts: 64.233.167.104 www.networkassociates.comO1 - Hosts: 64.233.167.104 www.ca.comO1 - Hosts: 64.233.167.104 www.my-etrust.comO1 - Hosts: 64.233.167.104 www.nai.comO1 - Hosts: 64.233.167.104 www.trendmicro.comO1 - Hosts: 64.233.167.104 www.grisoft.comO1 - Hosts: 64.233.167.104 securityresponse.symantec.comO1 - Hosts: 64.233.167.104 symantec.comO1 - Hosts: 64.233.167.104 sophos.comO1 - Hosts: 64.233.167.104 mcafee.comO1 - Hosts: 64.233.167.104 liveupdate.symantecliveupdate.comO1 - Hosts: 64.233.167.104 viruslist.comO1 - Hosts: 64.233.167.104 f-secure.comO1 - Hosts: 64.233.167.104 kaspersky.comO1 - Hosts: 64.233.167.104 kaspersky-labs.comO1 - Hosts: 64.233.167.104 avp.comO1 - Hosts: 64.233.167.104 networkassociates.comO1 - Hosts: 64.233.167.104 ca.comO1 - Hosts: 64.233.167.104 mast.mcafee.comO1 - Hosts: 64.233.167.104 my-etrust.comO1 - Hosts: 64.233.167.104 download.mcafee.comO1 - Hosts: 64.233.167.104 dispatch.mcafee.comO1 - Hosts: 64.233.167.104 secure.nai.comO1 - Hosts: 64.233.167.104 nai.comO1 - Hosts: 64.233.167.104 update.symantec.comO1 - Hosts: 64.233.167.104 updates.symantec.comO1 - Hosts: 64.233.167.104 us.mcafee.comO1 - Hosts: 64.233.167.104 liveupdate.symantec.comO1 - Hosts: 64.233.167.104 customer.symantec.comO1 - Hosts: 64.233.167.104 rads.mcafee.comO1 - Hosts: 64.233.167.104 trendmicro.comO1 - Hosts: 64.233.167.104 grisoft.comO1 - Hosts: 64.233.167.104 sandbox.norman.noO1 - Hosts: 64.233.167.104 www.pandasoftware.comO1 - Hosts: 64.233.167.104 uk.trendmicro-europe.comO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dllO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exeO4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe"  /dontopenmycardsO4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033O4 - HKLM\..\Run: [serpe] C:\WINDOWS\System32\serbw.exeO4 - HKLM\..\Run: [ltwob] C:\WINDOWS\msmbw.exeO4 - HKLM\..\RunServices: [dnssvc32] dnssvc32.exeO4 - HKLM\..\RunServices: [MsConfigs] mswindow.exeO4 - HKLM\..\RunServices: [avnort] C:\WINDOWS\msmbw.exeO4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\msmbw.exeO4 - HKLM\..\RunServices: [serpe] C:\WINDOWS\System32\serbw.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exeO4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cabO16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cabO16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/Common/npwwg.cabO16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cabO16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07be542f31ac91914215/netzip/RdxIE601_fr.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cabO16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} (WTHoster Class) - http://install.wildtangent.com/bgn/partners/nike/nikefz4/install.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cabO16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cabO16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{06E0C12C-A3FA-4B53-A3F7-6ECC6AE6E461}: NameServer = 192.168.0.1O17 - HKLM\System\CCS\Services\Tcpip\..\{84FDBE34-E2A5-4A46-BA24-A80D64B6BDCF}: NameServer = 212.27.32.176 212.27.39.1O17 - HKLM\System\CS1\Services\Tcpip\..\{06E0C12C-A3FA-4B53-A3F7-6ECC6AE6E461}: NameServer = 192.168.0.1O17 - HKLM\System\CS2\Services\Tcpip\..\{06E0C12C-A3FA-4B53-A3F7-6ECC6AE6E461}: NameServer = 192.168.0.1O17 - HKLM\System\CS3\Services\Tcpip\..\{06E0C12C-A3FA-4B53-A3F7-6ECC6AE6E461}: NameServer = 192.168.0.1O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dllO23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exeO23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exeO23 - Service: MsConfigs (msconfigs) - Unknown owner - C:\WINDOWS\System32\mswindow.exe" -service (file missing)O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNTtvscan.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exeEn ce qui concerne ton lien Sad,je ne peux pas y acceder;Quelqu'un pourrait me faire un copier coller de ce lien? Je vous remercie.Au revoir a demain

moe · Answer

essaye de voir icihttp://www.ravantivirus.com/scan/

moe · Answer

salut

je viens de m'apercevoir que j'ai oublié de te faire fixer 2/3 lignes et supprimer un processus, réessaye cette manip.

toujours en mode sans echecs, et fichiers cachés et systeme visibles.

fixe:
O1 - Hosts: 64.233.167.104 www.symantec.com
O1 - Hosts: 64.233.167.104 www.sophos.com
O1 - Hosts: 64.233.167.104 www.mcafee.com
O1 - Hosts: 64.233.167.104 www.viruslist.com
O1 - Hosts: 64.233.167.104 www.f-secure.com
O1 - Hosts: 64.233.167.104 www.avp.com
O1 - Hosts: 64.233.167.104 www.kaspersky.com
O1 - Hosts: 64.233.167.104 www.networkassociates.com
O1 - Hosts: 64.233.167.104 www.ca.com
O1 - Hosts: 64.233.167.104 www.my-etrust.com
O1 - Hosts: 64.233.167.104 www.nai.com
O1 - Hosts: 64.233.167.104 www.trendmicro.com
O1 - Hosts: 64.233.167.104 www.grisoft.com
O1 - Hosts: 64.233.167.104 securityresponse.symantec.com
O1 - Hosts: 64.233.167.104 symantec.com
O1 - Hosts: 64.233.167.104 sophos.com
O1 - Hosts: 64.233.167.104 mcafee.com
O1 - Hosts: 64.233.167.104 liveupdate.symantecliveupdate.com
O1 - Hosts: 64.233.167.104 viruslist.com
O1 - Hosts: 64.233.167.104 f-secure.com
O1 - Hosts: 64.233.167.104 kaspersky.com
O1 - Hosts: 64.233.167.104 kaspersky-labs.com
O1 - Hosts: 64.233.167.104 avp.com
O1 - Hosts: 64.233.167.104 networkassociates.com
O1 - Hosts: 64.233.167.104 ca.com
O1 - Hosts: 64.233.167.104 mast.mcafee.com
O1 - Hosts: 64.233.167.104 my-etrust.com
O1 - Hosts: 64.233.167.104 download.mcafee.com
O1 - Hosts: 64.233.167.104 dispatch.mcafee.com
O1 - Hosts: 64.233.167.104 secure.nai.com
O1 - Hosts: 64.233.167.104 nai.com
O1 - Hosts: 64.233.167.104 update.symantec.com
O1 - Hosts: 64.233.167.104 updates.symantec.com
O1 - Hosts: 64.233.167.104 us.mcafee.com
O1 - Hosts: 64.233.167.104 liveupdate.symantec.com
O1 - Hosts: 64.233.167.104 customer.symantec.com
O1 - Hosts: 64.233.167.104 rads.mcafee.com
O1 - Hosts: 64.233.167.104 trendmicro.com
O1 - Hosts: 64.233.167.104 grisoft.com
O1 - Hosts: 64.233.167.104 sandbox.norman.no
O1 - Hosts: 64.233.167.104 www.pandasoftware.com
O1 - Hosts: 64.233.167.104 uk.trendmicro-europe.com

O4 - HKLM\..\Run: [serpe] C:\WINDOWS\System32\serbw.exe
O4 - HKLM\..\Run: [ltwob] C:\WINDOWS\msmbw.exe
O4 - HKLM\..\RunServices: [dnssvc32] dnssvc32.exe
O4 - HKLM\..\RunServices: [MsConfigs] mswindow.exe
O4 - HKLM\..\RunServices: [avnort] C:\WINDOWS\msmbw.exe
O4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\msmbw.exe
O4 - HKLM\..\RunServices: [serpe] C:\WINDOWS\System32\serbw.exe
O23 - Service: MsConfigs (msconfigs) - Unknown owner - C:\WINDOWS\System32\mswindow.exe" -service (file missing)

et vire si présent:

C:\WINDOWS\System32\serbw.exe <= celui que j'ai oublié et qui a du tout relancer au redemarrage
C:\WINDOWS\msmbw.exe
dnssvc32.exe
mswindow.exe

a+

ohmega68 · Answer

en fait il s agit dans le cas present du virus Serflog.A voir description ci dessous secuser

DESCRIPTION DETAILLEE :
Le virus Serflog.A se propage via le logiciel de messagerie instantanée MSN Messenger. Il se présente sous la forme d'un message prétendument envoyé par un contact MSN, contenant un lien vers un fichier au nom aléatoire avec une extension en .PIF ou.SCR (17 Ko). Si ce fichier est exécuté, le virus s'envoie à tous les contacts MSN, se copie des plusieurs répertoires mis en partage, modifie le système pour empêcher la connexion aux sites des principaux éditeurs d'antivirus, puis tente de désactiver certains antivirus et pare-feux personnels. Serflog copie les fichiers suivants surle disque dur :
http://www.secuser.com/alertes/2005/serflog.htm
Annoying crazy frog getting killed.pif
Crazy frog gets killed by train!.pif
Fat Elvis! lol.pif
How a Blonde Eats a Banana...pif
Jennifer Lopez.scr
LOL that ur pic!.pif
lspt.exe
Me on holiday!.pif
Mona Lisa Wants Her Smile Back.pif
My new photo!.pif
See my lesbian friends.pif
The Cat And The Fan piccy.pif
Topless in Mini Skirt! lol.pif
Crazy-Frog.Html
Message to n00b LARISSA.txt
British National Party.jpg
En courshttp://www.secuser.com/alertes/2005/serflog.htm

loren · Answer

salut

lorenlempereur · Answer

j'ai eue le même virus sur mon portable ! et c'est la crotte je peux vous l'assurer !
ce que j'ai fais peut surement vous aider et au moins vous relancer les applications antivirus, fire wall...
si au démarage des fichiers qui s'appelent serbw.exe veulent s'executer faite annuler et :
allez dans la commande "éxecuter" taper "regedit"
allez dans l'onglet : édition et cliquez rechercher .
taper : serbw.exe
il en trouve normalement 5, le premier qu'il trouve selectionner le et supprimmer le (bouton droit...) refaite la recherche jusqua ce qu'il n'en trouve plus un seul .
après avoir passé en revu le fichier serbx.exe dans les recherches taper : serpe
car la est le veritable nom du virus dans la base de registre !
une fois qu'il a trouvé "serpe" supprimer le et prenez en un malin plaisir à le faire .
ensuite allez dans le poste de travail et le disque dur C:\
faite outil/option des dossiers/afficher les fichiers caché
vous verrez que tous les fichiers nommé :jennifer lopez, mona lisa, elvis... apparaissent ... supprimer les radicalement .. pour le reste je cherche et si j'ai du neuf je vous dirais !

lorenlempereur · Answer

si vous n'arrivez pas à lancer l'éditeur de registre dans WIN XP démarrer le en mode sans échec et faite la procédure indiquées ci dessus ! (recherce des fichiers serbw.exe puis serpe et les supprimer) .
Après avoir lancer l'option d'affichage des fichiers cachés regarder dans windows/system32 et supprimez le fichier "formatsys.exe" puis dans le widows " msmbw.exe" supprimer les !

lorenlempereur · Answer

Procédure complète pour virus serpe de type : qui l’envoi a vos contact sans que vous le sachiez et qui vous bloque tous les antivirus l’accès internet aux sites d’antivirus, les firewall et anti-spyware. En gros c’est le truc bien embettant .

Démarrer en mode sans échec (taper F8 de suite au démarrage) l’écran vous propose de démarrer windows normalement en mode sans échec … démarrez en mode sans échec.
Une fois démarrer en mode d’affichage horrible du mode sans échec allez dans le menu démarrer  éxecuter et tapez : « regedit » (sans les guillemets) puis entrée !
En haut a droite de se nouveau menu plusieurs onglets s’offrent à vous
Fichier Edition Affichage Favoris *
Cliquez sur « Edition » et ensuite sur « rechercher… »
Voila ! une petite fenètre s’affiche voulant connaître le nom du fichier à rechercher .
Taper ensuite toujours sans les guillemets « serbw.exe » tapez entrée
Après recherche il trouve dans la partie droite de la fenètre de l’éditeur un certain nombre de lignes. Sur l’une de celle-ci est écrit serbw.exe séléctionnez la et supprimer la avec le bouton droit de la souris .
Recommencer l’opération de recherche des fichiers « serbw.exe » puis la suppression de ceux-ci jusqu'à ce qu’il vous indique « recherche dans le registre terminée . »
Continuons dans la lancée et cherchez ensuite le fichier « serpe » ce fichier est la racine du virus une fois que vous l’avez supprimé il ne pourra plus se réactivé, si vous ne le supprimez pas les fichiers « serbw.exe » se remettrons en place automatiquement .
Voila pour la première étape !
Deuxième étape :
Allez dans le poste de travail, double cliquez sur C:\ (disque sur lequel le system est installé) dans l’onglet « outil » se trouvant en haut à droite cliquez sur « option des dossiers » une fois dans le menu cliquez sur l’onglet « affichage » et cochez la case « afficher les fichiers et dossiers cachés » puis cliquez sur appliquer.
Entrez ensuite dans dossier « windows » et supprimer l’icône «msmbw.exe »
Allez ensuite (toujours dans le dossier windows) dans le dossier systèm32 et supprimer l’icône « formatsys.exe » normalement ces fichiers étaient tous cachés.
Revenez dans le disque C:\ (toujours avec le mode d’affichage des fichiers et dossiers cachés)
Et vous voyez tous les fichiers ms-dos nommés elvis, mona lisa, jennifer lopez…. Supprimez les ainsi que les autres liés aux virus ! si vous ne savez pas lesquels y sont ratachés cliquez sur celui ou vous avez un doute faite « propriété » et regardez la date de celui-ci si cette date correspond au jour ou vous avez chopé le virus supprimez les ! le reste des fichiers cachés étaient installés lors de l’installation de windows . ils ont donc une date largement antérieur .
Voila votre ordi est à nouveau opérationnel ! faites toutes ces étapes dans l’ordre et ne supprimez pas quelque chose dont vous n’ètes pas sur, si vous avez des quesions je suis sur msn a « lorenlempereur@hotmail.com »
Nota : une fois les fichiers « serbw.exe » et « serpe » supprimés dans la base de registre (étape 1) le virus ne pourra plus démarrer il sera donc mis en quarantaine et vous pourrez alors le supprimer au fur et a mesure sans qu’il ne bronche plus aucunement .
Pour toute question n’hésitez pas .

lorenlempereur · Answer

si vous voulez télécharger la procédure pour ce virus allez sur mon site :
http://membres.lycos.fr/lorenfeneant
dans le site allez sur "le bar de la TAI" et ensuite allez sur télécharger la procédure

lorenlempereur · Answer

voila comme vous le savez le virus laisse quelque résidus introuvables, mais après quelques recherches de ... 4 h en plus je sais comment les enlevés (j'ai trouvé le programme symantec exact qui était inouvrable avant l'autr eprocédure précédente)
pour le programme allez toujours sur mon site :
http://membres.lycos.fr/lorenfeneant
dans le site cliquez sur "bar de la TAI" et téléchargez le programme
. pour toute questions "lorenlempereur@hotmail.com" merci.

Rumbacampus · Answer

Bonsoir à tousOn peut aussi trouver le programme pour eradiquer icihttp://www.secuser.com/alertes/2005/serflog.htm@+

Appui · Answer

Bonsoir a tous;voila prk je ne retrouvais pas mon Post il était dans la rubrique Virus. Bref j'ai réussi a éradiquer le virus.
J'ai demandé a qqun de m'envoyé les fichier de Mise a jour,je les ai installé en mode sans échec.Apres Examen,20 virus trouvés!
Donc le virus n'est plus la.

Cependant,certains probleme peuvent persister comme :
-lorsqu'on va sur les site d'éditeur anti virus,on nous ramenne sur google. Pour remedier a cela, telecharger Hikackjis et faite la procédure décrite ci dessus.

-Impossible de réstaurer la RESTAURATION SYSTEME; Je n'ai toujours pas résolu ce probleme,je suis en train de recherché,si qqun a des infos,je suis preneur.

Merci a tout le monde pour votre aide en tout cas:)

moe · Answer

salut appui

Apparement, il rajoute ceci dans cette clé du registre(en gras)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
Windows NT\=> SystemRestore
avec pour valeurs:
DisableSR = "0"
DisableConfig = "0"

Déploie la clé jusqu'à system restore, clic droit sur systemrestore et clic sur exporter(par précaution), puis supprime le dossier systemrestore.
Redemarre et vérifie s'il y a du changement.
Si la restau systeme est ok, tu supprime la sauvegarde de la clé.
voir ici:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FFATSO%2EA&VSect=T

a+

Chippewa12 · Answer

Bonsoir,Merci de m'aider au mieux, a savoir que je suis pas expert. J'ai le meme problème qu'Appui.D'avance merci pour votre aide.

Appui · Answer

Ok je suis pret a taider Chipeawa,mais sans antivirus c va etre plus compliqué: voici ce que je te propose:-vérifie tout dabord si tu peux ouvrir ta boite mail wanadoo ou autre conte sur outlook expres-je tenvoie loutil de désinfection-tu démare en mode sans echec et tu le lanceSi tarrive pas a ouvrir ton courrier,prend le logiciel de supression chez un ami!

stomokentin · Answer

euh...j'pourrai avoir l'outil de desinfection moi aussi ?? :) stp :)lol bye et merci c cool cette solidarité informatique !

Appui · Answer

Au fait comment faite vous pr arriver sur ce forum avec le virus??

lorenlempereur · Answer

j'ai réussi a éradiquer le virus de fond en comble sans antivirus . Si vous avez besoin d'aide télécharger la procédure sur http://membres.lycos.fr/lorenfeneantdans :"la bar de la TAI" cliquez dessus et télécharger la procédure ainsi que le programme de rétablissement de la restauration système .

lorenlempereur · Answer

si les sites d'antivirus ne fonctionne pas c'est que le virus tourne a plein régime .pour toutes questions . lorenlempereur@hotmail.com

Ravageur · Answer

J'ai attrapé ce virus, et despéré je suis parti à la chasse des fichiers corrompus. En réalité sans le vouloir j'ai suivi la procédure de lorenlempereur mais à l'envers, j'avais réussi à supprimer le fichier msmbw.exe. Et puis j'ai chercher sur le net pour savoir ce que j'avais attraper. Je suis tomber ici, et j'ai suivi la procédure en plus précis, je n'ai trouver aucun des fichiers à supprimer dans le registre (sans doute je l'avais fais involontairement en supprimant les fichiers que je pensais être le virus), par contre j'ai supprimer les fichiers formatsys.exe et serbw.exe que je n'avais pas trouvé avant. Arrivé là je pensais mon ordi comme neuf, mais non, je ne pouvais toujours pas restaurer. J'ai télécharger le petit logiciel, fais un scan du PC, mais il me dit qu'il n'a pas trouver le virus sur mon PC. J'essaye de restaurer, mais ça ne marche pas, après un redémarrage non plus. J'ai fait ce qu'avait recommandé moe ( c'est-à-dire supprimer les clés ajoutées par le virus), et désormais ça marche. Je crois donc que mon PC est clean désormais. Alors meric à tous sans qui je ne serai jamais sorti seul de cette galère ... Encore MERCI

ikramitta@hotmail@hotmail.com · Answer

ssss

lorenlempereur · Answer

8 ème bécanne décontaminée en 2 jours !

Chippewa12 · Answer

dsl pour  mon absence.En fait je suis alle chercher un ordi de depannage chez un ote(un mac...lol) mais c'est mieux que rien afin de pouvoir suivre vos conseil en direct.Sur mon PC comme appui impossible d'ouvrir tout site de desinfection. je viens d'imprimer  la notice de loenfeneant; jr m'y met. sous reserve car j'ai pas d'av, sauf celui des mail par wanadoo.

Kaly · Answer

Une de mes filles a attrapé ce virus de M... sur messenger et comme j'ai une petite entreprise c'était la panique à bord car je prenais beaucoup de retard mais grâce à vous tous et en particulier à lorenlempereur qui m'a aidé à plusieurs reprises je crois que mon ordi est " guéri" ou presque, en suivant sa méthode j'ai pu retrouver une bonne partie des fonctions de mon ordi mais je ne pouvais pas restaurer, sur les conseil de ravageur j'ai fait la méthode "moe" (supression d'une clé dans le registre) et vous savez quoi ça marche, c'est génial je vous remercie beaucoup de prendre du temps pour nous aider, vous êtes super ! Apparemment donc tout marche sauf, eh oui y'a encore kekchose qui va pas, je ne peux pas faire de nettoyage de disque, ça ne marche pas, en faisant ctrl alt supr dans le processus y'a un programme qui s'appelle cleanmgr.exe et qui me fait tourner le processeur à 100% sans que le nettoyage ne se fasse pour autant. Si vous avez une solution elle sera la bienvenue.Merci merci merci.

Chippewa12 · Answer

Un grand MERCI à tous. Lorenlempereur j'ai suivi scupuleusement tes conseils et ca à l'air d'avoir fonctionné pour le moment.Il me reste a tout verifier mais là il est tard. C'est la premiere fois que je viens sur un forum informatique(pour moi c'etait pour les pros les vrais ceux qui toucent grav, pas pour les bidouilleur comme moi!)... toute cette solidarité et faire partager ses connaissance c'est vraiment sympa et gentils a vous tous.Merci encore et bravoBonne nuit

Appui · Answer

Heureux d'apprendre que tout le monde est décontaminé;La lecon que j'ai pu retenir,c'est de programmer la MAJ automatique de mon anti-virus.Il ne me reste plus qu'a essayer la solution de Moe pour la restauration;je le ferai ce soir car la j'ai cours :(. Aller merci tout le monde !

moe · Answer

salut appuijete un oeil ici et vérifie aussi le n°4http://www.commentcamarche.net/forum/affich-1363441-MSN-et-w32-Serflog-A-et-Ba+

lorenlempereur · Answer

bravo a tous ! je suis fier de vous ! si vous avez enore le virus faite comme Chippewa 12, suivez scupuleusement la procédure de moi .rappel http://membres.lycos.fr/lorenfeneantdans la rubrique "le bar de la TAI" télécharger la procédure.pour la restauration suivez las conseils 'moe' qui marche apparement bien, sinon toujours la solution de l'applicatif symantec qui a marché chez moi et sur plusieurs bécanes (aussi sur mon site au mêm endroit que l'autre) .la différence c'est que l'applicatif remet aussi tous les outils concernant la maintenance des disques durs . (nettoyage de disque par exemple) .

lorenlempereur · Answer

ça y est j'ai passé la barre des 10 PC décontamminés ! :-)

lorenlempereur · Answer

11  !!

Kaly34 · Answer

Me revoilà à nouveau, j'ai un autre problème à vous soumettre, depuis que j'ai eu ce virus et que j'utilise word (souvent à la fermeture) il est écrit en bas de page " enregistrement de normal.dot" et là mon ordi plante, j'ai réinstallé word mais rien ne change.Merci d'avance.

gogoteman · Answer

Salut a tous,comme vous j'ai eu ce sale virus envoyé par un ami et j'ai contaminé d'autre personnes! Je tiens a tous vous remerçier pour vos précieuses aides sans quoi je n'aurai jamais réussi!!!! Encore bravo et merçi!

gogoteman · Answer

Encore merçi mais j'ai un problème qui me fait très peur! Jai eu une liste de trojan énorme et de virus et la j'ai vu sasser dedant!!!!!!!!! De + j'ai vu le trojan kenvalad un truc comme ça que je croyais avoir déja supprimé avec kapersky et jai retrouvé énormément de virus ds le mode sans echec donc en recherchant pour serbw.exe!Es ce normal? si non comment les virer car mnt je les retrouve plus et je comprend pk mon ordi rame mnt!!!!!

Neo-Nil@u · Answer

Salut Gogoteman,as-tu déja téléchargé cet utilitaire gratuit ? Si non, fais-le et suis les indications. * A²Free à cette adresse : http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/26618.htmlLance le scan et tiens-nous au courant !@+

Kaly34 · Answer

Bonjour  à toutes et à tous,  à nouveau un grand merci à tous, sans vous je serais coulé avec ma petite entreprise de VPC et bon nombre de mes clients ne serait pas contentent content. Enfin grâce à vous et votre savoir tout va bien, J'ai pourtant encore quelques soucis et je me permets de vous en reparler car je n'ai pas de nouvelles, je ne peux toujours pas faire de nettoyage disque et de plus dès que je ferme Word ou Excel mon ordi plante. Si quelqu'un peut m'aider !? HELP ! HELP!.Merci d'avance.@ Bientôt.

béa 146 · Answer

ça y est, en cherchant par google, j'ai trouvé le site softpedia.com, j'ai pu télécharger sofpedia mirror (ro), c'est un produit symantec qui nettoie l'ordi du ver  serflog. j'ai retrouvé l'usage de norton et la fonction restauration système. j'espère que cela aura tout enlevé.bonne chance.

barbo · Answer

alor moi c pareil jme suis pri ce truc serbw.exe sur msn ki la envoyer desuite a mes contact jai pu le suprimer de mes fichier recu unikemen mai il existe toujour ds mon systeme kaspersky ne le detecte pour linstan pa du tt mai je pence ke ds une semaine il sera a jour voir avant alor lorske vous allumez le pc sous xp il vous est demander d'activer ou non serbw.exe refuser ca ne vous genera pa pour le moment la vrai kestion c commen le suprimer definitivemen du pc

lorenlempereur · Answer

désinfection du virus procédure complète :Procédure complète pour virus serpe de type : qui l’envoi a vos contact sans que vous le sachiez et qui vous bloque tous les antivirus l’accès internet aux sites d’antivirus, les firewall et anti-spyware. En gros c’est le truc bien embettant . Démarrer en mode sans échec (taper F8 de suite au démarrage) l’écran vous propose de démarrer windows normalement en mode sans échec … démarrez en mode sans échec. Une fois démarrer en mode d’affichage horrible du mode sans échec allez dans le menu démarrer &#61664; éxecuter et tapez : « regedit » (sans les guillemets) puis entrée ! En haut a droite de se nouveau menu plusieurs onglets s’offrent à vous Fichier Edition Affichage Favoris * Cliquez sur « Edition » et ensuite sur « rechercher… » Voila ! une petite fenètre s’affiche voulant connaître le nom du fichier à rechercher . Taper ensuite toujours sans les guillemets « serbw.exe » tapez entrée Après recherche il trouve dans la partie droite de la fenètre de l’éditeur un certain nombre de lignes. Sur l’une de celle-ci est écrit serbw.exe séléctionnez la et supprimer la avec le bouton droit de la souris . Recommencer l’opération de recherche des fichiers « serbw.exe » puis la suppression de ceux-ci jusqu'à ce qu’il vous indique « recherche dans le registre terminée . » Continuons dans la lancée et cherchez ensuite le fichier « serpe » ce fichier est la racine du virus une fois que vous l’avez supprimé il ne pourra plus se réactivé, si vous ne le supprimez pas les fichiers « serbw.exe » se remettrons en place automatiquement . Voila pour la première étape ! Deuxième étape : Allez dans le poste de travail, double cliquez sur C:\ (disque sur lequel le system est installé) dans l’onglet « outil » se trouvant en haut à droite cliquez sur « option des dossiers » une fois dans le menu cliquez sur l’onglet « affichage » et cochez la case « afficher les fichiers et dossiers cachés » puis cliquez sur appliquer. Entrez ensuite dans dossier « windows » et supprimer l’icône «msmbw.exe » Allez ensuite (toujours dans le dossier windows) dans le dossier systèm32 et supprimer l’icône « formatsys.exe » normalement ces fichiers étaient tous cachés. Revenez dans le disque C:\ (toujours avec le mode d’affichage des fichiers et dossiers cachés) Et vous voyez tous les fichiers ms-dos nommés elvis, mona lisa, jennifer lopez…. Supprimez les ainsi que les autres liés aux virus ! si vous ne savez pas lesquels y sont ratachés cliquez sur celui ou vous avez un doute faite « propriété » et regardez la date de celui-ci si cette date correspond au jour ou vous avez chopé le virus supprimez les ! le reste des fichiers cachés étaient installés lors de l’installation de windows . ils ont donc une date largement antérieur . Voila votre ordi est à nouveau opérationnel ! faites toutes ces étapes dans l’ordre et ne supprimez pas quelque chose dont vous n’ètes pas sur, si vous avez des quesions je suis sur msn a « lorenlempereur@hotmail.com » Nota : une fois les fichiers « serbw.exe » et « serpe » supprimés dans la base de registre (étape 1) le virus ne pourra plus démarrer il sera donc mis en quarantaine et vous pourrez alors le supprimer au fur et a mesure sans qu’il ne bronche plus aucunement . Pour toute question n’hésitez pas .

gogoteman · Answer

J'ai télécharger avast et grace a lui j'ai supprimé d'autre virus que j'avais et j'ai encore eu serbw alors que j'ai les plus lol! Mais bon ca pas grave sinon je n'ai pas sasser! Mais mnt j'ai un blem! Mon lecteur C est de couleur bleu !! Jai effacé d dossiers cachés sans faire gafeen mode normal es ce a cause de ça ?

catherine lebrun · Answer

Un grand merci à Lorenlempereur. Avons été infecté hier via MSN messenger. Mon fils a aussitôt prévenu ses contacts de ne pas ouvrir le fichier soit disant expédié par lui... donc pas trop de casse... Grâce à un vieux clou d'ordinateur que nous venions de mettre en réseau, et qui lui n'a pas été infecté,  j'ai réussi à trouver ce site . J'ai suivi à la lettre la marche à suivre indiquée et super. Par contre je n'ai pas restauré le système. Est-ce important ? Autre chose, en rallumant l'ordinateur (sous XP), j'ai été informé que deux fichiers étaient en attente de gravure  et là, effectivement deux fichiers nommés autorun daté de l'heure de "l'attaque" s'y trouvaient. Je les ai supprimés.

leticia · Answer

Merci aussi a Lorenlempreur pour ses conseils. Mais moi, j'ai  eu mois de chance, j'ai peut être trop attendu en cherchant l'accès à la restauration du système. Quand j'ai voulu suvre ses pas, j'ai remis l'ordinateur en marche après qu'il s'est mis en veille quelque temps, puis écran noir. J'ai voulu rebooter mais après quelques secondes de chargement, ça faisait comme un bug, ça redevenait noir et ainsi de suite. J'ai essayé de rebooter en mode sans échec(F8) ainsi tous les autres modes possibles, mais rien à faire. Pour finir j'ai tout effacé, heureusement rien d'important, et reinstalé windows . Maintenant j'ai quelques problèmes, le clavier ne répond plus aux mêmes lettres (à la place du 'a' vient le 'q' ou du 'm' vient '?', etc. Aussi, l'ordi ne reconnait pas la carte PCM sans fil que j'installe et reinstalle. Est-il possible que ça aie quelque chose a voir avec le virus?Merci,Leticia

benton761 · Answer

Salut,pour ton clavier tu peut commencer par aller dans le panneau de configuration puis option regionales, onglet langue, cliquer sur detail en haut dans langue d'entré il faut mettre francais et dans les service il faut avoir le clavier français tu peux meme supprimer le clavier americain.A mon tour... J'ai eu aussi ce virus en ramassant sur MSN mona lisa wants her smile back.pif là sont survenu les premiers problemes, le pc (98se) a ete redemarrer en mode MS DOS et la plus moyen de revenir en mode normal. J'ai acces par F8 au mode sans echec j'ai dailleur pu utiliser le fix de symantec qui a trouvé le ver, j'ai fait la manip presentée ci dessus mais le fix a du bien marcher car il ne trouve plus rien et je n'ai aucune des clef cité ni meme aucun des fichiers caché. Mais le probleme reste le meme toujours en mode MS DOS. si avec F8 je choisi mode normal => MSDOS si je tape exit sous MSDOS la machine redemarre en MSDOS... et pour finir quand je tape WIN il m'annonce que je vais quitter le mode MSDOS pour le mode normal et là... MSDOS est de retour...si quelqu'un a la solution, cela n'a peut etre rien a voir avec ce vers, j'ai fait un scan sous dos avec le soft de mac afe que j ai trouvé dans ce post mais il ne trouve rien... le pc avait ete scan sur panda 3 jours avant (rien au rapport), pas d'anti virus dessus.

gardiendessonges · Answer

j ai le meme virus que toi je suis largué au secoureSKY DEVIL

Jérémie · Answer

je voudrais bien telecharger un logiciel pour éradiquer ce probleme des plus désagréable mais lorsque je clique sur n'importe quel lien menant a un antivir us , internet explorer m'affiche une pasge 404 de la BBC . Ce qui me parait tres louche non  et ce pour tous les antiviru s que j'ai pu trouver.

moe · Answer

salutvous pouvez télécharger le fix pour serflog A UNIQUEMENT, sans passer par un site AV ici: http://www.softpedia.com/progDownload/W32Serflog-Free-Removal-Tool-Download-20654.html ou ici: http://majorgeeks.com/download4523.html L'enregistrer sur le bureau et le renomer(en cas de probleme pour le lancer) avant de l'executer.(tout ce qui porte un nom comme fix, virus..et bloqué par le virus).a+

yasser · Answer

je veux blog ce email par vurus bouichi@hotmail.com

y0h · Answer

Pour ceux qui ont un problème en lancant Word ou Excel à la suite de ce problème : Le virus endommage certains dll, dont un utilisé par Word, Excel et autres produits Microsoft Office. Malheureusement même la méthode d'extraction des dlls ne permet pas de résoudre le problème. La mauvaise nouvelle : vous devez les réinstaller.Bon courage.

Virus inconnu

72 réponses

Votre réponse

Discussions similaires

Newsletters