A voir également:
- Virus ineffacable
- Virus mcafee - Accueil - Piratage
- Comment détruire un virus informatique - Guide
- Powershell.exe virus - Guide
- Impossible de terminer l'opération car le fichier contient un virus - Forum Virus
- Undisclosed-recipients virus - Guide
94 réponses
- 1
- 2
- 3
- 4
- 5
Suivant
Résumé de la discussion
On suspecte une infection par le virus msdirectx fu2/rootkit et la difficulté de s’en débarrasser malgré l’usage d’outils comme HijackThis et les retours d’expérience autour de ce problème. Plusieurs réponses recommandent de refaire un scan avec HijackThis et d’analyser les entrées de démarrage, notamment celles associées à msdirectx.sys et à MSN Messenger dans les rapports fournis. D’autres échanges insistent sur la vérification des clés Run et des entrées Autorun afin d’identifier des composants suspects, tels que des noms anormaux comme FireFox Service Drivers. Le dernier rapport indique le fichier msdirectx.sys en démarrage manuel et récapitule les éléments présents dans les listes de démarrage et les services, offrant une vue plus précise des composants actifs et leur statut.
salut
tu sais où il est placé, alors effaces le
tu as quel antivirus? firewall? système?
les virus s'effaces plus facilement si tu lances ton scan antivirus en mode sans échec ou mode VGA
a+
tu sais où il est placé, alors effaces le
tu as quel antivirus? firewall? système?
les virus s'effaces plus facilement si tu lances ton scan antivirus en mode sans échec ou mode VGA
a+
le probleme c'est qu'il bloque carrément tout ... je ne peux pas ouvrir le ctrl + alt + suppr , je ne peu pa telecharger d antivirus sur internet , mon ordinateur est ralentit je ne trouve pas de solution d eradication !!!!
a choak foi ke je le supprime dans regedit puis dans system 32 il reapparait !!! msdirectx fu2/rootkit ....
salut anthox
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijack
et surtout pas dans un dossier temporaire (temp)
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijack
et surtout pas dans un dossier temporaire (temp)
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour
Oui, il fut désactiver l'utilitaire de sauvegarde Windows, sinon il se réplique à l'infini
Démarrer / Programmes / Outils système / Restauration système / cliquer sur le lien à gauche, il ouvre sur un panneau permettant de désactiver la restauration.
Réactiver aprés l'extraction du virus
Oui, il fut désactiver l'utilitaire de sauvegarde Windows, sinon il se réplique à l'infini
Démarrer / Programmes / Outils système / Restauration système / cliquer sur le lien à gauche, il ouvre sur un panneau permettant de désactiver la restauration.
Réactiver aprés l'extraction du virus
je vous remercie tous de l interet que vous portez a mon probleme je vien de faire un hikjack ( je croi ke ca s applle kom ca ) si vous pouviez y jeter un oeil ;)
Logfile of HijackThis v1.99.1
Scan saved at 01:09:10, on 01/01/2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\wftestb.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Program Files\AnVir Virus Destroyer\AnVir.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Opera\opera.exe
C:\Documents and Settings\Amrouni\Mes documents\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)
O4 - HKLM\..\Run: [WFFT Test] wftestb.exe
O4 - HKLM\..\RunServices: [WFFT Test] wftestb.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c267.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/fr/games7.cab?fgiocv=1
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{376C0EE3-2981-4329-A9A0-1775BDCF4083}: NameServer = 80.118.196.41 80.118.192.111
O18 - Filter: text/html - {CB00C6D7-521B-4544-ACEC-631B6F793099} - C:\Documents and Settings\Amrouni\Local Settings\Application Data\microsoft\internet explorer\V0.26.dat
Logfile of HijackThis v1.99.1
Scan saved at 01:09:10, on 01/01/2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\wftestb.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Program Files\AnVir Virus Destroyer\AnVir.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Opera\opera.exe
C:\Documents and Settings\Amrouni\Mes documents\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)
O4 - HKLM\..\Run: [WFFT Test] wftestb.exe
O4 - HKLM\..\RunServices: [WFFT Test] wftestb.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c267.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/fr/games7.cab?fgiocv=1
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{376C0EE3-2981-4329-A9A0-1775BDCF4083}: NameServer = 80.118.196.41 80.118.192.111
O18 - Filter: text/html - {CB00C6D7-521B-4544-ACEC-631B6F793099} - C:\Documents and Settings\Amrouni\Local Settings\Application Data\microsoft\internet explorer\V0.26.dat
personellement je n'y comprend rien mais je sais que mon ordi est un repaire de virus en tout genres !!!
salut
commençons par fixer les lignes suivantes:
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
Méchant Effacer si vous n’avez pas ajouté vous-même cette page dans vos sites a confiance.
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
Méchant Effacer si vous n’avez pas ajouté vous-même cette page dans vos sites a confiance.
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c267.cab
Méchant Cette inscription est probablement méchante. Il vaut mieux effacer cette inscription !
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
Méchant Cette inscription est probablement méchante. Il vaut mieux effacer cette inscription !
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall /xscan53.cab
Bon Cette inscription a été identifiée comme étant non dangereuse.
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/fr/games7.cab?fgiocv=1
Méchant Cette inscription
commençons par fixer les lignes suivantes:
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
Méchant Effacer si vous n’avez pas ajouté vous-même cette page dans vos sites a confiance.
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
Méchant Effacer si vous n’avez pas ajouté vous-même cette page dans vos sites a confiance.
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c267.cab
Méchant Cette inscription est probablement méchante. Il vaut mieux effacer cette inscription !
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
Méchant Cette inscription est probablement méchante. Il vaut mieux effacer cette inscription !
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall /xscan53.cab
Bon Cette inscription a été identifiée comme étant non dangereuse.
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/fr/games7.cab?fgiocv=1
Méchant Cette inscription
j'ai beaucoup de bugs dans mon ordinateur , le processeur ctrl + alt + suppr ne s'ouvre pas ainsi que regedit , un programme doit les bloquer de plus pour allumer mon ordinateur il me faut au moins 15 minutes car l'ecran ne s'allume pas directement puis lorsque il se met a fonctionner c'est au tour du clavier de ne pas fonctionner et quand celui ci remarche c'est au tour de la souris de rester figer !!!! je ne sais pas si un programme a pu destabiliser tout ceci ou un probleme de reglages qui me semblent pourtant bon ( scuzez moi toute cette lecture ;) )
j'ai remarquer un virus msdirectx.sys que je n'arrive pas a affacer ainsi que userinit32.exe ;(
j'ai remarquer un virus msdirectx.sys que je n'arrive pas a affacer ainsi que userinit32.exe ;(
salut,
dabord essaie de le mettre dans la quarantaire afin de ne plus te deranger, penant que tu cherche une solution.
tu peux aussi(avec ton consentement bien sur) supprimer le fichier tout entier qui contient ce virus!!
merci de me repondre sur mon adresse msn si ca marche ou pas
bye
dabord essaie de le mettre dans la quarantaire afin de ne plus te deranger, penant que tu cherche une solution.
tu peux aussi(avec ton consentement bien sur) supprimer le fichier tout entier qui contient ce virus!!
merci de me repondre sur mon adresse msn si ca marche ou pas
bye
j'ai essayer de formater l'ordinateur mais le virus ou les virus sont toujours présent .. en plus j'ai 2 disques durs mainenant j'arrive plus a en enlever un meme si j'ai tout supprimer ce qu'il contenaait ..
il me semble que le virus est msdirectx j'ai aussi un fichier suspect sbhostcs32 et winmcd.exe !!!
voila
il me semble que le virus est msdirectx j'ai aussi un fichier suspect sbhostcs32 et winmcd.exe !!!
voila
slt,
Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Le patch en Français pour Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
Spybot :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html
essai ceci,met les a jour, scan et supprime tous ce qu il trouve...
--------------------------------------------------------------------------
lance un scan chez RAV :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
+recolle un log hijack this
Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Le patch en Français pour Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
Spybot :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html
essai ceci,met les a jour, scan et supprime tous ce qu il trouve...
--------------------------------------------------------------------------
lance un scan chez RAV :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
+recolle un log hijack this
le problème c'est que les telechargements via internet sont completement bloqués !!!
il m'est impossible de telecharger sur le net ... ce doit etre un programme qui bloque les telechargements sur internet , le processus de taches ( ctrl + alt ++ suppr ) mais aussi regedit et de nombreux autres blocages et petits bugs en tout genre sous windows XP
il m'est impossible de telecharger sur le net ... ce doit etre un programme qui bloque les telechargements sur internet , le processus de taches ( ctrl + alt ++ suppr ) mais aussi regedit et de nombreux autres blocages et petits bugs en tout genre sous windows XP
tente ceci
Avec le bloc-notes, ouvre le fichier : C: \WINDOWS\system32\drivers\etc\hosts
Dans la fenêtre, fais "Edition" > "Sélectionner tout" puis appuie sur la touche “retrait”.
Ensuite tapes ceci sur la première ligne : "127.0.0.1 localhost" (sans les guillemets)
Puis fais "Fichier" > "Enregistrer" et enfin redémarre.
Le fichier hosts ne doit plus contenir que :
127.0.0.1 localhost
xp c'est C:\WINDOWS\system32\drivers\etc\hosts
Sous 2000 C: \WINNT\system32\drivers\etc\hosts
Sous les win 9x c'est C: \WINDOWS\hosts
redemarre et tente de te connecter pour telecharger ceci
fait ceci
HijackThis (ici) http://www.florensac-chasse-trap.com/
section virus
telecharge le et met le dans son propre dossier ex/c :hj
clik sur do a systeme scan et save a logfile
et copier coller le rapport
Avec le bloc-notes, ouvre le fichier : C: \WINDOWS\system32\drivers\etc\hosts
Dans la fenêtre, fais "Edition" > "Sélectionner tout" puis appuie sur la touche “retrait”.
Ensuite tapes ceci sur la première ligne : "127.0.0.1 localhost" (sans les guillemets)
Puis fais "Fichier" > "Enregistrer" et enfin redémarre.
Le fichier hosts ne doit plus contenir que :
127.0.0.1 localhost
xp c'est C:\WINDOWS\system32\drivers\etc\hosts
Sous 2000 C: \WINNT\system32\drivers\etc\hosts
Sous les win 9x c'est C: \WINDOWS\hosts
redemarre et tente de te connecter pour telecharger ceci
fait ceci
HijackThis (ici) http://www.florensac-chasse-trap.com/
section virus
telecharge le et met le dans son propre dossier ex/c :hj
clik sur do a systeme scan et save a logfile
et copier coller le rapport
- 1
- 2
- 3
- 4
- 5
Suivant
