Virus ineffacable

Anthox -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
salut a tous j'ai découvert récemment que mon ordinateur etait infecté par le virus msdirectx fu2/rootkit !!! je n'arrive pas à m'en débarasser si quelqu 'un pourrait m aider ca serait sympa !!

94 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

On suspecte une infection par le virus msdirectx fu2/rootkit et la difficulté de s’en débarrasser malgré l’usage d’outils comme HijackThis et les retours d’expérience autour de ce problème. Plusieurs réponses recommandent de refaire un scan avec HijackThis et d’analyser les entrées de démarrage, notamment celles associées à msdirectx.sys et à MSN Messenger dans les rapports fournis. D’autres échanges insistent sur la vérification des clés Run et des entrées Autorun afin d’identifier des composants suspects, tels que des noms anormaux comme FireFox Service Drivers. Le dernier rapport indique le fichier msdirectx.sys en démarrage manuel et récapitule les éléments présents dans les listes de démarrage et les services, offrant une vue plus précise des composants actifs et leur statut.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. bernie61
     
    salut
    tu sais où il est placé, alors effaces le
    tu as quel antivirus? firewall? système?

    les virus s'effaces plus facilement si tu lances ton scan antivirus en mode sans échec ou mode VGA
    a+
    0
  2. Anthox
     
    le probleme c'est qu'il bloque carrément tout ... je ne peux pas ouvrir le ctrl + alt + suppr , je ne peu pa telecharger d antivirus sur internet , mon ordinateur est ralentit je ne trouve pas de solution d eradication !!!!
    0
  3. Anthox
     
    a choak foi ke je le supprime dans regedit puis dans system 32 il reapparait !!! msdirectx fu2/rootkit ....
    0
  4. moe
     
    salut anthox

    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijack
    et surtout pas dans un dossier temporaire (temp)
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Furtif Messages postés 9956 Statut Contributeur 933
     
    Bonjour
    Oui, il fut désactiver l'utilitaire de sauvegarde Windows, sinon il se réplique à l'infini
    Démarrer / Programmes / Outils système / Restauration système / cliquer sur le lien à gauche, il ouvre sur un panneau permettant de désactiver la restauration.

    Réactiver aprés l'extraction du virus
    0
  7. anthox Messages postés 24 Statut Membre
     
    je vous remercie tous de l interet que vous portez a mon probleme je vien de faire un hikjack ( je croi ke ca s applle kom ca ) si vous pouviez y jeter un oeil ;)

    Logfile of HijackThis v1.99.1
    Scan saved at 01:09:10, on 01/01/2003
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\wftestb.exe
    C:\PROGRA~1\MOZILL~1\firefox.exe
    C:\Program Files\AnVir Virus Destroyer\AnVir.exe
    C:\WINDOWS\System32\taskmgr.exe
    C:\Program Files\Opera\opera.exe
    C:\Documents and Settings\Amrouni\Mes documents\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
    O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)
    O4 - HKLM\..\Run: [WFFT Test] wftestb.exe
    O4 - HKLM\..\RunServices: [WFFT Test] wftestb.exe
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c267.cab
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/fr/games7.cab?fgiocv=1
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{376C0EE3-2981-4329-A9A0-1775BDCF4083}: NameServer = 80.118.196.41 80.118.192.111
    O18 - Filter: text/html - {CB00C6D7-521B-4544-ACEC-631B6F793099} - C:\Documents and Settings\Amrouni\Local Settings\Application Data\microsoft\internet explorer\V0.26.dat
    0
  8. anthox Messages postés 24 Statut Membre
     
    personellement je n'y comprend rien mais je sais que mon ordi est un repaire de virus en tout genres !!!
    0
    1. mistral
       
      salut


      commençons par fixer les lignes suivantes:

      O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
      Méchant Effacer si vous n’avez pas ajouté vous-même cette page dans vos sites a confiance.
      O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
      Méchant Effacer si vous n’avez pas ajouté vous-même cette page dans vos sites a confiance.
      O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c267.cab
      Méchant Cette inscription est probablement méchante. Il vaut mieux effacer cette inscription !
      O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
      Méchant Cette inscription est probablement méchante. Il vaut mieux effacer cette inscription !
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall /xscan53.cab
      Bon Cette inscription a été identifiée comme étant non dangereuse.
      O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/fr/games7.cab?fgiocv=1
      Méchant Cette inscription
      0
  9. anthox Messages postés 24 Statut Membre
     
    ok jte remercie ;) apres ai-je d autres modifications à apporter ???
    0
  10. anthox Messages postés 24 Statut Membre
     
    j'ai beaucoup de bugs dans mon ordinateur , le processeur ctrl + alt + suppr ne s'ouvre pas ainsi que regedit , un programme doit les bloquer de plus pour allumer mon ordinateur il me faut au moins 15 minutes car l'ecran ne s'allume pas directement puis lorsque il se met a fonctionner c'est au tour du clavier de ne pas fonctionner et quand celui ci remarche c'est au tour de la souris de rester figer !!!! je ne sais pas si un programme a pu destabiliser tout ceci ou un probleme de reglages qui me semblent pourtant bon ( scuzez moi toute cette lecture ;) )

    j'ai remarquer un virus msdirectx.sys que je n'arrive pas a affacer ainsi que userinit32.exe ;(
    0
  11. mistral
     
    aprés avoir fixé les lignes quelle a été la réaction du pc
    0
  12. anthox Messages postés 24 Statut Membre
     
    j'ai pas remarquer beaucoup de différences a vrai dire et il y a encore de nombreux bugs ;(
    0
  13. adnane el hassouni
     
    salut,
    dabord essaie de le mettre dans la quarantaire afin de ne plus te deranger, penant que tu cherche une solution.
    tu peux aussi(avec ton consentement bien sur) supprimer le fichier tout entier qui contient ce virus!!
    merci de me repondre sur mon adresse msn si ca marche ou pas
    bye
    0
  14. Anthox
     
    j'ai essayer de formater l'ordinateur mais le virus ou les virus sont toujours présent .. en plus j'ai 2 disques durs mainenant j'arrive plus a en enlever un meme si j'ai tout supprimer ce qu'il contenaait ..
    il me semble que le virus est msdirectx j'ai aussi un fichier suspect sbhostcs32 et winmcd.exe !!!

    voila
    0
  15. Utilisateur anonyme
     
    slt,
    Ad-Aware :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html

    Le patch en Français pour Ad-Aware :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html

    Spybot :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html

    essai ceci,met les a jour, scan et supprime tous ce qu il trouve...
    --------------------------------------------------------------------------
    lance un scan chez RAV :
    http://www.ravantivirus.com/scan/

    Clique sur "To continue without subscribing click here" et attends quelques minutes.
    Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
    A la fin de l'analyse, copie/colle le rapport ici

    +recolle un log hijack this
    0
  16. Anthox
     
    j'aimerais bien mais ce virus ou vers bloque les telechargements je ne peux rien telecharger !!!
    0
  17. Utilisateur anonyme
     
    remet un log hijack this !

    a+
    0
  18. Anthox
     
    le problème c'est que les telechargements via internet sont completement bloqués !!!

    il m'est impossible de telecharger sur le net ... ce doit etre un programme qui bloque les telechargements sur internet , le processus de taches ( ctrl + alt ++ suppr ) mais aussi regedit et de nombreux autres blocages et petits bugs en tout genre sous windows XP
    0
  19. Anthox
     
    je sai plu tro koi faire et le formatage ne semble pas l effacer !!!
    0
  20. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    tente ceci
    Avec le bloc-notes, ouvre le fichier : C: \WINDOWS\system32\drivers\etc\hosts
    Dans la fenêtre, fais "Edition" > "Sélectionner tout" puis appuie sur la touche “retrait”.
    Ensuite tapes ceci sur la première ligne : "127.0.0.1 localhost" (sans les guillemets)
    Puis fais "Fichier" > "Enregistrer" et enfin redémarre.

    Le fichier hosts ne doit plus contenir que :
    127.0.0.1 localhost

    xp c'est C:\WINDOWS\system32\drivers\etc\hosts
    Sous 2000 C: \WINNT\system32\drivers\etc\hosts
    Sous les win 9x c'est C: \WINDOWS\hosts

    redemarre et tente de te connecter pour telecharger ceci
    fait ceci
    HijackThis (ici) http://www.florensac-chasse-trap.com/
    section virus

    telecharge le et met le dans son propre dossier ex/c :hj

    clik sur do a systeme scan et save a logfile
    et copier coller le rapport
    0
  • 1
  • 2
  • 3
  • 4
  • 5