A la recherche du virus

Question

saluch!
j'ai un pote qui a un bleme, des qu'il est sur msn, ses contacts (dont moi!) recoivent des virus
et impossible pour lui d'aller sur panda, secuser ou autre, l'antivirus en ligne ne marche pas (certainement du au virus)

comment pourrait il faire ?
merci

Afficher la suite

moe · Answer

salut herbertC'est surement serflog.vous pouvez télécharger le fix pour serflog, sans passer par un site AV ici: http://www.softpedia.com/progDownload/W32Serflog-Free-Removal-Tool-Download-20654.htmlou ici:http://majorgeeks.com/download4523.htmlL'enregistrer sur le bureau et le renomer avant de l'executer.(tout ce qui porte un nom comme fix, virus..et bloqué par le virus). Si le fix ne marche pas , ou si vous ne pouvez aller sur aucuns sites AV, voici la manip de suppression manuelle de trend micro et symantec pour serflog A et serflog B si possible: - Redémarrer en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios) Rendre visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage cocher " afficher les fichiers et dossiers cachés " décocher " masquer les extentions des fichiers dont le type est connu décocher " masquer les fichiers protégés du système" ---------- -1- Vérifier si ce ou ces procéssus apparaissent dans le gestionnaire des taches.(CTRL+ALT+SUPPR) S'ils sont présent: clic droit dessus puis clic sur "terminer le processus" msmbw.exe serbw.exe formatsys.exe msmpatch.exe svosm.exe sysup.exe dsm.exe -2- ensuite ouvrir l'éditeur du registre: Démarrer> exécuter tapez regedit et allez sur les clés suivantes: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\clic sur Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\clic sur Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\clic sur RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\clic sur Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\clic sur Run Dans la fenetre de droite supprimer(dans chaques clés) toutes les lignes concernant: C:\Windows\System32\serbw.exe C:\Windows\System32\formatsys.exe C:\Windows\msmbw.exe C:\Windows\System32\msmpatch.exe C:\Windows\System32\svosm.exe C:\Windows\System32\sysup.exe C:\Windows\dsm.exe -3- Supprimer les fichiers infectés(si présents): C:\Windows\System32\serbw.exe C:\Windows\System32\formatsys.exe C:\Windows\msmbw.exe C:\Windows\System32\msmpatch.exeC:\Windows\System32\svosm.exe C:\Windows\System32\sysup.exe C:\Windows\dsm.exe C:\Crazy-Frog.Html C:\Message to n00b LARISSA.txt C:\British National Party.jpg C:\Annoying crazy frog getting killed.pif C:\Crazy frog gets killed by train!.pif C:\Fat Elvis! lol.pif C:\How a Blonde Eats a Banana...pif C:\Jennifer Lopez.scr C:\LOL that ur pic!.pif C:\lspt.exe C:\Me on holiday!.pif C:\Mona Lisa Wants Her Smile Back.pif C:\My new photo!.pif C:\See my lesbian friends.pif C:\The Cat And The Fan piccy.pif C:\Topless in Mini Skirt! lol.pif C:\One Eye Granny pic!.pif C:\me drunk at The Sea!.pif C:\Punk Lives! lol.pif C:\Me Love You Long Time.pif C:\Me pic.pif C:\HillBilly Chick lol.pif C:\Dumb Looking Goth Chick.pif C:\Hot Blonde!.pif C:\Modelling Her New Bikini.pif C:\Crazy Japanese man kicks crazy frog!.pif C:\Funny Hitler parody!.pif C:\My birthday pic!.pif C:\Funny Hitler parody.pif -4- Dans certains cas il se copie dans: C:\Documents and Settings
om d'utilisateur\Local Settings\Application Data\Microsoft\CD Burning Dans le but de se copier automatiquement sur chaque CD qui seront gravés, et d'être réexécuté automatiquement dès que le CD sera lu. Supprimer ces 2 fichiers si vous les trouvez dans le dossier CD Burning AUTORUN.EXE AUTORUN.INF Si ces 2 fichiers sont présents et que vous avez essayé de faire des sauvegardes sur CD de vos documents en étant infecté, il y a de fortes chance que vos CD soient infectés. -5- Si l'onglet de la restauration systeme n'est plus accessible: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\clic sur SystemRestore => dans la fenetre de droite supprimer les 2 valeurs: "DisableConfig" = "0" "DisableSR" = "0" -6- Pour ceux qui utilise emule, il peut se copier aussi dans le dossier: C:\Program Files\eMule\Incoming Ainsi que dans Poste de travail> "documents partagés" Sous les noms suivants: Messenger Plus! 3.50.exe MSN all version polygamy.exe MSN nudge bomb.exe MSN Display picture stealer.exe MSN Messenger 7.exe MSN Avatar Creator.exe A virer si présent 7- Pour les problèmes d'accès au site de scan AV Aller jusqu'à: C:\WINDOWS\system32\drivers\etc et double cliquez sur le fichier hosts Dans la fenetre qui s'ouvre, choisir "selectionner un programme" selectionner le bloc note et valider. Ne laisser à l'intérieur que: 127.0.0.1 localhost puis fermer le bloc note et valider la modification Pour ceux qui utilisent spybot, ne pas oublier de revaccinner apres. Redemarrer normalement et faire un scan AV en ligne pour confirmer. a+

Moi · Answer

n'a pas compris moaaa

dusse58 · Answer

slt j'ai le même souci avec ce virus.j'aurai voulu savoir où ce trouve éditeur de registre où ce que c'est.j'ai windows 98Merci de me répondre rapidement.

Thibault60 · Answer

Bonjour, je vois qu'il y peut etre des gens qui pourront m'aider a supprimer ce virus car j'ai les meme symptomes que ce qui est décrit ici :Quand je suis sur google et que je cherche des sites expliquant comment éradiquer ce virus ca ferme la page tout seul. (là je suis sur un pc au taffe)De plus j'aimerais bien ouvrir mon registre mais je crois que ce virus bloque aussi l'acces au regedit de windows, les seules choses que j'ai pu établir dans la procédure décrite précedemment c'est de supprimer les fichiers formatsys.exe et serb...Je suis vraiment bloké je ne vois plu quoi faire...J'espere vraiment que quelqu'un pourras m'aider..Merci d'avance..PS : je comprend pas a quoi ca sert de faire ces putains de virus franchement, où est l'interet... ca leur fais meme pas gagner d'argent ?!!

moe · Answer

salut Thibault60Ton pc est infecté par serflog A.telecharge hijackthis:http://www.merijn.org/files/hijackthis.zip Dezippe le dans un dossier prévu a cet effet.(sur le pc infecté)Par exemple C:\hijacket surtout pas dans un dossier temporaire (temp)lance le puis:clic sur "do a system scan and save logfile" et pas autre chosefais un copier coller du log entier ici.http://assiste.free.fr/p/internet_utilitaires/hijackthis_faire_un_log.phpa+

thibault60 · Answer

heu probleme encore...pas moyen de telecharger ce fichier, dès que le telechargement est terminé on diré ke le virus le supprime tout seul ...il commence vraiment a me tané ce virus ...

moe · Answer

Quand tu essaye de l'exécuter ?

Thibault60 · Answer

serieux je sais plus quoi faire... au secours !! a l'aide !! help me ... je vois pas sérieux le mec qui a crée ca est trop baleze il a pensé a tout ! mais putain si je l'ai en face de moi je lui pete sa tronche moi !!!!!!!!

moe · Answer

renomme hijackthis.exe en  thibault.exe par exemple et reessaye.a+

moe · Answer

dur dur..il faudrait reessayer en mode sans echecsredemarre et laisse passer l'écran du bios, puis tapote sur la touche F8. Choisis le mode sans échec dans les options et valide avec entrée.et relance hijack.

moe · Answer

t'inquiète, je reste encore une heure ou 2.Et ca m'interresse de t'aider, sinon, je ne viendrais pas sur le forum ;-)si tu as un peu de temps devant toi, redemarre en mode sans echecs, et essaye de relance hijackthis pour pouvoir faire un logensuite tu l'enregistre dans le bloc note, pour pouvoir le reposter ici.Surtout n'essaye pas de supprimer les fichier infectés pour l'instanta+

Thibault60 · Answer

j'ai deja suprimé des fichiers, c'est une autre personne qui m'aidé qui m'a di de faire ca.. aparement il me disé n'importe koi et ca marché pas et quand il a vu que j'y arrivé pas il m'a laissé en plan l'enfoiré ( c t sur un autre forum ) alors je suis venu par hasard ici et je suis tombé sur toi.. mais l'autre type m'a fais faire n'importe quoi je crois...

moe · Answer

est ce que tu as acces au registre ?demarrer > executer tape regeditsi ca ne marche pas, copie le fichier c:\windows\regedit.exe sur le bureau, et tu le renomme toto.exe

thibault60 · Answer

il n'existe pas des autres soft comme hijack.. ? le mec il a pas pensé a proscrire tout les soft ki existe pour éradiquer le virus tout de meme .. ? si c'est ca le mec ki a crée ca il est carément plus intelligent ke bill gates sérieux

Thibault60 · Answer

je n'ai pas acces au registre ca ferme la fenetre du registre aussitot dès que je tape regedit dans la ligne d'éxecution et dans c:\windows\machinchépukoi y'a pu regedit.exe...

Thibault60 · Answer

ah si j'ai réussi a le copié sur mon bureau il était bien dans c:\windows mais une fois renomé en test.exe sur mon bureau il me dit ca comme msg d'erreur : La modification du registre a été désactivée par votre Administrateur(pour info je suis sous le compte admin...)

sophiline · Answer

BonsoirVa ici http://www.secuser.com/telechargement/desinfection.htmet lit bien n'oublie pas de renommer comme on te l'a déja dit et enlève ta restauration du système comme c'est préciser sur secuser

moe · Answer

ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessousREGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:00000000 dans nom du fichier: met toto.reg(n'oublie pas le .reg)dans type de fichier choisis "tous les fichier"enregistreensuite fais un clic droit sur toto.reg et clic surfusionnerreessaye d'acceder au registre

thibault60 · Answer

c fait pour le fichier REG ca donne toujours rienimpossible d'acceder au registre toujours...

moe · Answer

on va tenter autre chose:va dans:C:\WINDOWS\system32\drivers\etc\hostsdouble clic sur hosts et choisis "selectionner un programme dans une liste"choisis le bloc note et valide.supprime: 64.233.167.104 www.sophos.com  64.233.167.104 www.mcafee.com  64.233.167.104 www.viruslist.com  64.233.167.104 www.f-secure.com  64.233.167.104 www.avp.com  64.233.167.104 www.kaspersky.com  64.233.167.104 www.networkassociates.com  64.233.167.104 www.ca.com  64.233.167.104 www.my-etrust.com  64.233.167.104 www.nai.com  64.233.167.104 www.trendmicro.com  64.233.167.104 www.grisoft.com  64.233.167.104 securityresponse.symantec.com  64.233.167.104 symantec.com  64.233.167.104 sophos.com  64.233.167.104 mcafee.com  64.233.167.104 liveupdate.symantecliveupdate.com  64.233.167.104 viruslist.com  64.233.167.104 f-secure.com  64.233.167.104 kaspersky.com  64.233.167.104 kaspersky-labs.com  64.233.167.104 avp.com  64.233.167.104 networkassociates.com  64.233.167.104 ca.com  64.233.167.104 mast.mcafee.com  64.233.167.104 my-etrust.com  64.233.167.104 download.mcafee.com  64.233.167.104 dispatch.mcafee.com  64.233.167.104 secure.nai.com  64.233.167.104 nai.com  64.233.167.104 update.symantec.com  64.233.167.104 updates.symantec.com  64.233.167.104 us.mcafee.com  64.233.167.104 liveupdate.symantec.com  64.233.167.104 customer.symantec.com  64.233.167.104 rads.mcafee.com  64.233.167.104 trendmicro.com  64.233.167.104 grisoft.com  64.233.167.104 sandbox.norman.no  64.233.167.104 www.pandasoftware.com  64.233.167.104 uk.trendmicro-europe.com les chiffres peuvent etres differentsreferme le bloc note et dans le message qui apparait enregistre la modificationtu devrais avoir acces aux sites avessaye de telecharger et de lancer ceci(apres l'avoir renommé):http://securityresponse.symantec.com/avcenter/FixSflog.exe

thibault60 · Answer

j'ai réussi a telecharger le truc et le lancer, c'est en train de scanner tout les fichiers de mon DD en esperant que ca fasse réellement qqchose... ?

c marké ca en tout cas : This program will remove W32.Serflog from your computer Please press start to begin the process or press Close to exit.

c rassurant le message.. mais j'espere que ca va vraiment faire qqchose...

moe · Answer

si tu avais ce processus sur ta machine , formatsys.exe,  le fix devrait faire le nettoyage.

Thibault60 · Answer

ok le truc a l'air d'avoir suprimé le virus mais comment m'assuré kil l'a réellement suprimé ??car j'ai tjrs pas acces au registre..

moe · Answer

tu peux lancer hijack

thibault60 · Answer

oui je peux maintenant le lancer!

moe · Answer

clic sur "do a system scan and save logfile" et pas autre chose fais un copier coller du log entier ici.

Thibault60 · Answer

Voilà ce que me donne le log une fois que je clique sur Do a system scan and save a logfile :Logfile of HijackThis v1.99.1Scan saved at 23:01:42, on 28/04/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Ahead\InCD\InCDsrv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\system32\mnmsrvc.exeC:\WINDOWS\system32
vsvc32.exeC:\WINDOWS\system32undll32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\dllhost.exeC:\ghtry	est.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe,windsk32.exe -shellO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dllO4 - HKLM\..\Run: [SystemMonitor] windsk32.exe -servicesO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\RunServices: [SystemMonitor] windsk32.exe -servicesO4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\system32undll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0O4 - HKCU\..\Run: [SystemMonitor] windsk32.exe -driversO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet ZoneO16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{E5CD324F-F853-4930-9A5A-0978E21E4497}: NameServer = 213.36.80.1 213.36.80.1O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

thibault60 · Answer

alors qu'est ce qu'il en pense Dr ?

moe · Answer

laisse moi quelques minutes pour verifier ton log

Pendant ce temp, verifie que:
tu aies acces:
* aux options des dossiers
panneau de configuration > options des dossiers

* l'onglet restauration systeme
Clic droit sur poste de travail > propriétés > onglet restauration système

apparement il ya en a un autre
a+

Thibault60 · Answer

j'ai acces a tout ce que tu m'a dis.. mais me dit pas que y'a encore un virus... :( :( :( je vais finir par le jeter par la fenetre ce pc de ***** !!

Thibault60 · Answer

ah et puis j'ai fais fusionné ton fichier toto.reg là et maintenant j'ai access au registre

moe · Answer

a moins que tu ne connaisse ce processus ?
windsk32.exe (probablement dans c:\windows\ system32)
inconnu sur google

fais le analyser ici:
http://virusscan.jotti.org/
clic sur parcourir, selectionne le et valide avec submit

il faudra peut etre rendre visible les fichiers cachés et systeme pour le voir:
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
Valide

poste le resultat ici

Thibault60 · Answer

File: windsk32.exe
Status: INFECTED/MALWARE
MD5 79ff89922dc41d202fa87411488e024b
Packers detected: YODA, UPX
Scanner results
AntiVir Found Worm/Sdbot.108743
Avast Found Win32:Aebot
AVG Antivirus Found IRC/BackDoor.SdBot.121.AJ
BitDefender Found Backdoor.Aebot.O
ClamAV Found nothing
Dr.Web Found BackDoor.IRC.Ebot
F-Prot Antivirus Found W32/Aebot.D
Fortinet Found nothing
Kaspersky Anti-Virus Found Backdoor.Win32.Aebot.o
mks_vir Found Trojan.Aebot.O
NOD32 Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control Found Sandbox: W32/Backdoor; [ General information ]

* File length: 88224 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\dllscan.exe.

[ Changes to registry ]
* Creates key "HKLM\Software\Microsoft\Connect".
* Sets value "Filename"="dllscan.exe" in key "HKLM\Software\Microsoft\Connect".
* Sets value "Valuename"="DLLConfig32" in key "HKLM\Software\Microsoft\Connect".
* Sets value "restrictanonymous
"="" in key "HKLM\System\CurrentControlSet\Control\Lsa".
* Deletes value "Update" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Deletes value "Update" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Deletes value "Update" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Deletes value "Update" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Deletes value "WinUpdate" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Deletes value "WinUpdate" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Deletes value "WinUpdate" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Deletes value "WinUpdate" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Deletes value "Task Manager" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Deletes value "Task Manager" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Deletes value "Task Manager" in key "HKLM
\Software\Microsoft\Windows\CurrentVersion\Run".
* Deletes value "Task Manager" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Sets value "LastMonth"="4" in key "HKLM\Software\Microsoft\Connect".
* Deletes value "Windows API Structure" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

Thibault60 · Answer

je le suprime le fichier ou pas ?

moe · Answer

 Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher " afficher les fichiers et dossiers cachés "Décocher " masquer les extentions des fichiers dont le type est connu Décocher " masquer les fichiers protégés du système"Valide Désactive la restauration systéme.Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher "désactiver la restauration système".(accepte le redemarrage). __________________________ Lance hijackthis et Fixe:(cocher au début de chaques lignes puis valider avec fix checked)F2 - REG:system.ini: Shell=Explorer.exe,windsk32.exe -shell O4 - HKLM\..\Run: [SystemMonitor] windsk32.exe -services O4 - HKLM\..\RunServices: [SystemMonitor] windsk32.exe -services O4 - HKCU\..\Run: [SystemMonitor] windsk32.exe -drivers O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone   Redémarre en mode sans échec Laisse passer l'écran du bios, puis tapote sur la touche F8. Choisis le mode sans échec dans les options et valide avec entrée. Rechercher et supprimer si présent:windsk32.exeSupprimer tout les fichiers à l'intérieur des dossiers suivants:* C:\Temp* C:\Windows\Temp* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini* C:\Documents and Settings	ous les utilisateurs\Local Settings\Temp* C:\Documents and Settings	ous les utilisateurs \Local Settings\Temporary Internet Files* C:\Documents and Settings	ous les utilisateurs \Cookies* Vider la corbeille !-----------------------------Redemarre normalement et reposte un log hijack pour vérifier l'évolution Ne pas oublier après les manips de recocher  " masquer les fichiers protégés du système" dans les options des dossiers

moe · Answer

je vais devoir arreter pour ce soir, quand tu auras fini les manips, fais un ou plusieurs scans AV en ligne.
ne reactive pas la restau systeme tant que ton pc n'est pas ok.
je repasse demain en fin d'apres midi.

Quelques AV en lignes:
http://www.ravantivirus.com
http://housecall.trendmicro.com
http://www.bitdefender.com/scan/licence.php
http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
fais ton choix.

en ce qui concerne serflog, plus de traces dans le log hijackthis, le fix à fait son boulot.

a+

thibault60 · Answer

ok pas de probleme, merci BCP pour ton aide en tout cas! Bonne nuit et tien le log pour demain si tu passe :Logfile of HijackThis v1.99.1Scan saved at 23:58:27, on 28/04/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Ahead\InCD\InCDsrv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\system32\mnmsrvc.exeC:\WINDOWS\system32undll32.exeC:\WINDOWS\system32
vsvc32.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\WINDOWS\System32\svchost.exeC:\ghtry	est.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe,windsk32.exe -shellO1 - Hosts: 127.85.238.167 www.symantec.comO1 - Hosts: 127.0.198.155 securityresponse.symantec.comO1 - Hosts: 127.53.206.17 symantec.comO1 - Hosts: 127.158.99.214 www.mcafee.comO1 - Hosts: 127.215.177.186 mcafee.comO1 - Hosts: 127.125.224.117 us.mcafee.comO1 - Hosts: 127.63.188.249 www.sophos.comO1 - Hosts: 127.171.189.3 sophos.comO1 - Hosts: 127.30.96.253 www.viruslist.comO1 - Hosts: 127.182.149.96 viruslist.comO1 - Hosts: 127.215.47.6 f-secure.comO1 - Hosts: 127.58.110.33 www.f-secure.comO1 - Hosts: 127.198.237.49 kaspersky.comO1 - Hosts: 127.6.44.65 www.avp.comO1 - Hosts: 127.57.187.151 www.kaspersky.comO1 - Hosts: 127.37.103.175 avp.comO1 - Hosts: 127.221.119.174 www.networkassociates.comO1 - Hosts: 127.105.12.154 networkassociates.comO1 - Hosts: 127.131.164.37 www.ca.comO1 - Hosts: 127.82.150.132 ca.comO1 - Hosts: 127.146.107.184 my-etrust.comO1 - Hosts: 127.93.197.138 www.my-etrust.comO1 - Hosts: 127.129.161.174 secure.nai.comO1 - Hosts: 127.41.19.102 nai.comO1 - Hosts: 127.37.215.3 www.nai.comO1 - Hosts: 127.245.97.10 trendmicro.comO1 - Hosts: 127.189.213.98 www.trendmicro.comO1 - Hosts: 127.84.140.238 housecall.trendmicro.comO1 - Hosts: 127.10.17.131 www.pandasoftware.comO1 - Hosts: 127.61.236.102 www.bitdefender.comO1 - Hosts: 127.199.9.140 www.ravantivirus.comO1 - Hosts: 127.185.238.154 www3.ca.comO1 - Hosts: 127.95.136.120 v4.windowsupdate.microsoft.comO1 - Hosts: 127.213.65.249 v5.windowsupdate.microsoft.comO1 - Hosts: 127.192.47.194 v5windowsupdate.microsoft.nsatc.netO1 - Hosts: 127.180.84.51 windowsupdate.microsoft.comO1 - Hosts: 127.143.233.185 www.windowsupdate.comO1 - Hosts: 127.200.22.44 windowsupdate.comO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{E5CD324F-F853-4930-9A5A-0978E21E4497}: NameServer = 213.36.80.1 213.36.80.1O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

moe · Answer

salut

Apparement il est encore là.

C'est important que tu fasse la manip en mode sans echecs et restau systeme désactivé.

lance hijackthis et fixe:
F2 - REG:system.ini: Shell=Explorer.exe,windsk32.exe -shell

O1 - Hosts: 127.85.238.167 www.symantec.com
O1 - Hosts: 127.0.198.155 securityresponse.symantec.com
O1 - Hosts: 127.53.206.17 symantec.com
O1 - Hosts: 127.158.99.214 www.mcafee.com
O1 - Hosts: 127.215.177.186 mcafee.com
O1 - Hosts: 127.125.224.117 us.mcafee.com
O1 - Hosts: 127.63.188.249 www.sophos.com
O1 - Hosts: 127.171.189.3 sophos.com
O1 - Hosts: 127.30.96.253 www.viruslist.com
O1 - Hosts: 127.182.149.96 viruslist.com
O1 - Hosts: 127.215.47.6 f-secure.com
O1 - Hosts: 127.58.110.33 www.f-secure.com
O1 - Hosts: 127.198.237.49 kaspersky.com
O1 - Hosts: 127.6.44.65 www.avp.com
O1 - Hosts: 127.57.187.151 www.kaspersky.com
O1 - Hosts: 127.37.103.175 avp.com
O1 - Hosts: 127.221.119.174 www.networkassociates.com
O1 - Hosts: 127.105.12.154 networkassociates.com
O1 - Hosts: 127.131.164.37 www.ca.com
O1 - Hosts: 127.82.150.132 ca.com
O1 - Hosts: 127.146.107.184 my-etrust.com
O1 - Hosts: 127.93.197.138 www.my-etrust.com
O1 - Hosts: 127.129.161.174 secure.nai.com
O1 - Hosts: 127.41.19.102 nai.com
O1 - Hosts: 127.37.215.3 www.nai.com
O1 - Hosts: 127.245.97.10 trendmicro.com
O1 - Hosts: 127.189.213.98 www.trendmicro.com
O1 - Hosts: 127.84.140.238 housecall.trendmicro.com
O1 - Hosts: 127.10.17.131 www.pandasoftware.com
O1 - Hosts: 127.61.236.102 www.bitdefender.com
O1 - Hosts: 127.199.9.140 www.ravantivirus.com
O1 - Hosts: 127.185.238.154 www3.ca.com
O1 - Hosts: 127.95.136.120 v4.windowsupdate.microsoft.com
O1 - Hosts: 127.213.65.249 v5.windowsupdate.microsoft.com
O1 - Hosts: 127.192.47.194 v5windowsupdate.microsoft.nsatc.net
O1 - Hosts: 127.180.84.51 windowsupdate.microsoft.com
O1 - Hosts: 127.143.233.185 www.windowsupdate.com
O1 - Hosts: 127.200.22.44 windowsupdate.com

recherche et supprime:

windsk32.exe

on dirait qu'il bloque l'acces aux sites av et au site de microsoft

redemarre normalement et fais un scan av en ligne, et poste le resultat+un nouveau log hijackthis.

a+

Thibault60 · Answer

Bah tiens voilà la copy du log :Logfile of HijackThis v1.99.1Scan saved at 00:51:44, on 30/04/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Ahead\InCD\InCDsrv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\system32\mnmsrvc.exeC:\WINDOWS\system32
vsvc32.exeC:\WINDOWS\system32undll32.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Internet Explorer\iexplore.exeC:\ghtry	est.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O17 - HKLM\System\CCS\Services\Tcpip\..\{E5CD324F-F853-4930-9A5A-0978E21E4497}: NameServer = 213.36.80.1 213.36.80.1O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Saichobob · Answer

Salut a tous. Je vien de lire se topic au complet, et je crois que une de mes amie est infecter par se virus. Je veut juste en avoir la confirmation.

En premier, elle a pu me sortir les nom de fichier suivant:
-Serbw
-Msmbw
-Formatsys

Je l'ai ai vu plus haut. Elle me dit également que son msn ne marche plus, que sont anti-virus ne marche plus, et que elle a souvent des message qui disse que un fichier dll est manquant.

Merci de bien pouvoir me confirmer qu'il s'agit de se virus.

MANGEUR · Answer

c'est une sacré crote

regis59 · Answer

salut saicho,apparemment oui c est le meme;essai d aller sur un site d un antivirus < si cela marche pas, suis les indication de notre cher moe au poste 1a+

moe · Answer

salut regisje crois qu'il aura du mal a aller sur les sites av..le mieux c'est:Aller jusqu'à: C:\WINDOWS\system32\drivers\etc et double cliquez sur le fichier hosts Dans la fenetre qui s'ouvre, choisir "selectionner un programme" selectionner le bloc note et valider. Ne laisser à l'intérieur que: 127.0.0.1 localhost puis fermer le bloc note et valider la modification Les sites av devraient etre a nouveau accessibles.telecharger le fix ici:http://securityresponse.symantec.com/avcenter/FixSflog.exe(s'il ne veut pas se lancer, il faut le renommer)et le lancer en mode sans echec puis encore une autre fois apres avoir redemarrer.Ca évitera pas mal de manips.a+

moe · Answer

salut andrewdsl, mais sur ce coup, je ne vais pas pouvoir t'etre d'une grande utilité, vu que je n'ai pas eu à m'en servir.ne connaissant pas bien les commandes dos, tu peux toujours jeter un oeil sur ces liens:http://www.commentcamarche.net/repar/boot.php3http://www.rapidoweb.free.fr/msdos.htmn'oublie pas que j'ai mon pc depuis un an seulement et j'ai encore pas mal de choses a apprendre moi aussi.Tu peux aussi poster sur le forum windows, ou il me semble qu'il y a des spécialistes qui pourront mieux te renseigner pour ces problemes.a+

Thibault60 · Answer

salut, moe apparement mes soucis sont tous partis, je te remercie énormement sérieux, t'es le champion du monde pour enlever les virus, du moins tu a été plus compétent que mon antivirus :)hé pour taper les deux point sous dos il faut que tu tape ca andrew : shift+m (il me semble)a+

moe · Answer

salut thibault60Vraiment content que tout soit redevenu ok pour toi.a++

A la recherche du virus

46 réponses

Votre réponse

Discussions similaires

Newsletters