Scan

1414 -  
 VINIE -
Voici mon scan, que dois je faire ? merci
==========================================
Scan started at 15/05/2005 17:09:47

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\pc\msdirectx.sys - VirTool:WinNT/FURootkit.A -> Infected
C:\WINDOWS\system32\algs.exe - Backdoor:Win32/Poebot.B -> Infected
C:\WINDOWS\system32\SCardClnt.exe - Backdoor:Win32/Rbot.KS -> Infected

Scanned
============================
Objects: 35393
Directories: 2529
Archives: 724
Size(Kb): 1984844
Infected files: 3

Found
============================
Viruses found: 3
Suspicious files: 0
Disinfected files: 0
Mail files: 91

13 réponses

  1. bernie61
     
    salut
    redémarres en mode sans échec et efface ces fichiers .sys et .exe

    C:\Documents and Settings\pc\msdirectx.sys
    C:\WINDOWS\system32\algs.exe
    C:\WINDOWS\system32\SCardClnt.exe

    et refais un scan de contrôle
    a+
    0
    1. 1414
       
      Merci à toi mais ce que je comprend pas c'est que j'ai déjà fait cette manip, je les ai déjà enlever tout à l'heure en mode sans echec sauf SCardClnt car je ne l'ai pas trouvé mais les autre oui je vais réessayer mais je comprend pas très bien.
      Merci
      0
  2. bernie61
     
    bon alors il y a une astuce
    tu as SpybotS&D? sinon installe le, très utile

    effaces ces pgm avec cette procédure
    Il y a aussi l’effaceur de SpybotS&D
    aller à Outils cliq EffaceurDeSécurité, puis cliq droit de souris ‘ajouter fichier à la liste’ là une fenêtre s’ouvre et sélectionner quoi effacer ensuite
    en bas à droite cliq ‘déchiqueter’ voilà

    si réapparait encore, fais un Hijackthis
    a+
    0
    1. 1414
       
      Oui je l'ai mais le problème c'est que j'arrive pas à le remettre en francais car là c'est en anglais et moi et l'anglais ça fait 2
      0
  3. bernie61
     
    re
    tu as 4 onglets à gauche après avoir ouvert Spybot
    cliq sur le 2ème, c'est réglages (en anglais)
    puis là tu vois langage et tu cliq sur FRANCAIS
    a+
    0
    1. 1414
       
      Malheuresement c'est ce que je fais depuis tout à l'heure mais ça marche pas.
      Pourquoi ?
      0
  4. bernie61
     
    bon alors
    essaie une mise à jour de Spybot
    si ça va toujours pas
    désinstalles le en faisant ceci:
    redémarre ton ordi mode sans échec
    Démarrer/panneauConfig/AjoutSuppression/ et là tu cliq sur Spybot

    tu redémarres et va là
    Spybot S&D là: (free) version 1.4beta2
    http://www.softpedia.com/progDownload/SpyBot--Search--Destroy--beta-Download-1865.html

    a+
    0
    1. 1414
       
      Alors j'ai fait ce que tu m'as dit mais le problème c'est qu'il ne veut plus me le télécharger, il n'apparait dans mon bureau et au pire quand je fais demarrer rechercher Spybot, il me trouve des dossiers tels que l'aide mais pas le logiciel.
      Je sais pas si tu m'as comprise mais en ce moment je sais pas ce qui merde mais je n'arrive plus à télécharger, l'ordi fait celui qui travaille mais en fait rien au résultat.
      Merci
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    salut

    essaye de telecharger hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijack
    et surtout pas dans un dossier temporaire (temp)
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.

    a+
    0
    1. 1414
       
      Désolé mais je vois pas ce qu'il a comme problème mon ordi mais si je clique sur ton lien, j'ouvre et la j'ai la page TELECHARGEMENT et la ça se bloque et fin de programme et il me ferme internet
      merci
      0
  7. Utilisateur anonyme
     
    dur dur en effet

    Est ce que tu as essayé en redemarrant en mode sans echecs avec prise en charge reseaux.
    Ca te permettra d'avoir acces au net en mode sans echecs et peut etre de pouvoir le telecharger

    demarrer >> executer tape msconfig

    dans l'onglet BOOT.INI
    coche la case: /SAFEBOOTet NETWORK juste à sa droite.
    valide
    l'ordi devrait redemarrer en mode sans echecs
    connecte toi et reessaye de le telecharger

    une fois fait, pour pouvoir redemarrer normallement refais:
    demarrer >> executer tape msconfig
    Dans l'onglet Général coche demarrage normal et valide
    tu devrais redemarrer normallement.

    a+
    0
    1. 1414
       
      J'ai reessayé ta manip que j'avais déjà fait auparavant mais cela ne marche toujours pas. J'ai ma fenetre telechargement des fichiers et là ça plante.
      Merci
      0
  8. Utilisateur anonyme
     
    est ce que tu peux faire un scan av en ligne ?
    fais ton choix ici:
    http://assiste.free.fr/p/antivirus_gratuits_en_ligne/antivirus_en_ligne.php
    et poste le resultat
    a+
    0
    1. 1414
       
      Voici le resultat
      ==========================================
      Results of Virus Detection Scan
      40266 files scanned, 44 file(s) infected.



      No viruses were detected in memory.

      The scan did not detect any viruses in the files it scanned. The scan does not scan compressed files.

      No viruses were detected in memory.

      The scan was cancelled before finishing. To restart the scan, click here.

      The scan did not detect any viruses in the files it scanned. The scan does not scan compressed files.

      Warning! The scan detected a virus that is active in your computer's memory.
      The scan ended to prevent further infection.

      You should shut down your computer immediately and restart it with an antivirus rescue disk or similar tool.


      No viruses were detected in memory.

      The scan detected one or more viruses in the files it scanned.

      To Fix This Problem:

      Search for the name of the virus(s) listed below on the Symantec Security Response site for removal information.


      No viruses were detected in memory.

      The scan detected one or more viruses in the files it scanned.

      Note: The scan was cancelled before finishing. There may be more infected files on this computer.

      To Fix This Problem:

      Search for the name of the virus(s) listed below on the Symantec Security Response site for removal information.


      A scan has not been run. To start Scan for Viruses, click here.

      C:\email.exe is infected with Backdoor.Sdbot
      C:\msproc32.exe is infected with Trojan.LowZones
      C:\tcpdump.exe is infected with Trojan.LowZones
      C:\WINDOWS\system32\aamx.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\adum.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\algs.exe is infected with Trojan.Dropper
      C:\WINDOWS\system32\apbdv.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\apsix.exe is infected with Trojan.Dropper
      C:\WINDOWS\system32\csbisiw.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\csrs.exe is infected with Trojan.Dropper
      C:\WINDOWS\system32\dpckiw.exe is infected with Trojan.Dropper
      C:\WINDOWS\system32\duqio.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\dydmw.exe is infected with Trojan.Dropper
      C:\WINDOWS\system32\fgpdlc.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\fzsd.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\glof.exe is infected with Trojan.Dropper
      C:\WINDOWS\system32\Isass.exe is infected with Trojan.Dropper
      C:\WINDOWS\system32\itejzmph.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\jhlqoiey.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\kwugviiv.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\lalaa.exe is infected with W32.Spybot.Worm
      C:\WINDOWS\system32\mimn.exe is infected with Trojan.Dropper
      C:\WINDOWS\system32\MSMSN32.exe is infected with Trojan.Dropper
      C:\WINDOWS\system32\MSMSN7.exe is infected with W32.Spybot.Worm
      C:\WINDOWS\system32\ntsaeiay.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\oenon.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\oetvcviw.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\ozoslqmh.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\qtaubv.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\SCardClnt.exe is infected with W32.Randex
      C:\WINDOWS\system32\TFTP3240 is infected with Trojan.Dropper
      C:\WINDOWS\system32\TFTP3980 is infected with Trojan.Dropper
      C:\WINDOWS\system32\tgrjhwk.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\twbbiz.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\tyktp.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\tzmnzv.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\uculk.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\uurbc.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\vbwoxvmk.exe is infected with Backdoor.Trojan
      C:\WINDOWS\system32\vnnzpu.exe is infected with Backdoor.Trojan
      C:\Documents and Settings\pc\msdirectx.sys is infected with Hacktool.Rootkit
      D:\WINDOWS\system32\CTSVCCD.EXE is infected with Backdoor.Sdbot
      D:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8LAFGD67\416[1].exe is infected with Trojan.KillAV
      D:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\0PY7SH27\416[1].exe is infected with Trojan.KillAV
      0
  9. Utilisateur anonyme
     
    ok y a du boulot

    Désactive la restauration systéme.
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".
    (accepte le redemarrage).

    Dans le menu Demarrer>Executer >tape: Services.msc
    recherche le service avec cette orthographe exacte:
    Smart Card Client
    Double clic dessus et clic sur [arreter] puis dans :
    type de demarrage --> sélectionne désactivé.

    Puis:
    Redémarre en mode sans échec
    Laisse passer l'écran du bios, puis tapote sur la touche F8.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher " afficher les fichiers et dossiers cachés "
    Décocher " masquer les extentions des fichiers dont le type est connu
    Décocher " masquer les fichiers protégés du système"
    Valide

    Rechercher et supprimer si présent:

    Dans le cas ou tu utiliserais la fonction Rechercher:
    Assure toi que dans:
    Tous les fichiers et tous les dossiers >> Options avancées
    • Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
    • Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
    • Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !

    Supprime:

    C:\WINDOWS\system32\Isass.exe <- attention avec celui là, ne pas confondre avec lsass.exe qui lui est un fichier systeme
    C:\email.exe
    C:\msproc32.exe
    C:\tcpdump.exe
    C:\WINDOWS\system32\aamx.exe
    C:\WINDOWS\system32\adum.exe
    C:\WINDOWS\system32\algs.exe
    C:\WINDOWS\system32\apbdv.exe
    C:\WINDOWS\system32\apsix.exe
    C:\WINDOWS\system32\csbisiw.exe
    C:\WINDOWS\system32\csrs.exe
    C:\WINDOWS\system32\dpckiw.exe
    C:\WINDOWS\system32\duqio.exe
    C:\WINDOWS\system32\dydmw.exe
    C:\WINDOWS\system32\fgpdlc.exe
    C:\WINDOWS\system32\fzsd.exe
    C:\WINDOWS\system32\glof.exe
    C:\WINDOWS\system32\itejzmph.exe
    C:\WINDOWS\system32\jhlqoiey.exe
    C:\WINDOWS\system32\kwugviiv.exe
    C:\WINDOWS\system32\lalaa.exe
    C:\WINDOWS\system32\mimn.exe
    C:\WINDOWS\system32\MSMSN32.exe
    C:\WINDOWS\system32\MSMSN7.exe
    C:\WINDOWS\system32\ntsaeiay.exe
    C:\WINDOWS\system32\oenon.exe
    C:\WINDOWS\system32\oetvcviw.exe
    C:\WINDOWS\system32\ozoslqmh.exe
    C:\WINDOWS\system32\qtaubv.exe
    C:\WINDOWS\system32\SCardClnt.exe
    C:\WINDOWS\system32\TFTP3240
    C:\WINDOWS\system32\TFTP3980
    C:\WINDOWS\system32\tgrjhwk.exe
    C:\WINDOWS\system32\twbbiz.exe
    C:\WINDOWS\system32\tyktp.exe
    C:\WINDOWS\system32\tzmnzv.exe
    C:\WINDOWS\system32\uculk.exe
    C:\WINDOWS\system32\uurbc.exe
    C:\WINDOWS\system32\vbwoxvmk.exe
    C:\WINDOWS\system32\vnnzpu.exe
    C:\Documents and Settings\pc\msdirectx.sys
    D:\WINDOWS\system32\CTSVCCD.EXE

    Ensuite, tres important

    Supprimer les fichiers temporaires:

    D:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\double clic sur Content.IE5 et supprime tous les dossier sauf le fichier index.dat
    * C:\Documents and Settings\ton compte\Local Settings\Temp
    * C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
    * C:\Temp
    * C:\Windows\Temp
    vider tout le contenu des dossiers en gras.

    Le contenu du dossier prefetch:

    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

    * Ne pas oublier de vider la corbeille !

    ensuite, le plus long mais important, fais :

    Démarrer executer et tape msconfig
    dans l'onglet demarrage
    vérifie si des entrées correspondent aux fichiers infectés et si c'est le cas tu décoches la ou les lignes
    valide
    redemarre normalement et reessaye de telecharger hijackthis et refais un scan av en ligne
    0
    1. 1414
       
      Salut voici le résultat suite à un scan avec McAfee qu'en penses tu ?
      ==========================================
      C:\WINDOWS\Downloaded Program Files\m67m.ocx Downloader-RK
      C:\WINDOWS\system32\...\BPP1V3AP\sample[1].exe W32/Sdbot.worm.gen.bg
      C:\WINDOWS\system32\lalaa.exe W32/Poebot.gen
      C:\WINDOWS\system32\lssas.exe W32/Poebot.gen
      C:\WINDOWS\system32\msdirectx.sys FURootkit
      C:\WINDOWS\system32\MSMSN7.exe W32/Sdbot.worm.gen.h
      0
  10. Utilisateur anonyme
     
    salut vinie

    ou en est ton probleme ?

    a+
    0
    1. VINIE
       
      Salut,
      Malheuresement il en est toujours au même point si ce n'est pire.
      Je ne peux toujours pas télécharger HIJACKTHIS et encore moi télécharger qqch.
      Lorsque je veux télécharger, l'ordi se bloque et me ferme tous mes programmes et je comprend pas.
      La je cherche à trouver une personne qui possèderait les cd masters pour PBELL IMEDIA 4083 S/N 402166450000
      et voir si cela peut marcher.
      Merci à toi et si tu connais une personne qui les a hésite pas.
      0
  11. Utilisateur anonyme
     
    est ce que tu as le rapport de ton dernier scan av ?

    Pour tes master va du cote du forum packardbell il devrait bien y avoir quelqu'un qui pourra te depanner.

    a+
    0
    1. VINIE
       
      Voilà mon dernier scan
      ==========================================
      Results of Virus Detection Scan
      50838 files scanned, 5 file(s) infected.



      No viruses were detected in memory.

      The scan did not detect any viruses in the files it scanned. The scan does not scan compressed files.

      No viruses were detected in memory.

      The scan was cancelled before finishing. To restart the scan, click here.

      The scan did not detect any viruses in the files it scanned. The scan does not scan compressed files.

      Warning! The scan detected a virus that is active in your computer's memory.
      The scan ended to prevent further infection.

      You should shut down your computer immediately and restart it with an antivirus rescue disk or similar tool.


      No viruses were detected in memory.

      The scan detected one or more viruses in the files it scanned.

      To Fix This Problem:

      Search for the name of the virus(s) listed below on the Symantec Security Response site for removal information.


      No viruses were detected in memory.

      The scan detected one or more viruses in the files it scanned.

      Note: The scan was cancelled before finishing. There may be more infected files on this computer.

      To Fix This Problem:

      Search for the name of the virus(s) listed below on the Symantec Security Response site for removal information.


      A scan has not been run. To start Scan for Viruses, click here.

      C:\ro.exe is infected with Trojan.Dropper
      C:\WINDOWS\system32\keyboard.exe is infected with W32.Spybot.Worm
      C:\WINDOWS\system32\lssas.exe is infected with Trojan.Dropper
      C:\WINDOWS\system32\notes.exe is infected with Trojan.Dropper
      C:\Documents and Settings\pc\msdirectx.sys is infected with Hacktool.Rootkit
      0
  12. Utilisateur anonyme
     
    salut

    est ce que tu peux me dire si tu as cette clé dans ton registre ?
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    NT\CurrentVersion\Image File Execution Options
    regarde apres avoir deployé (+) Image File Execution Options en dessous si tu vois un dossier explorer.exe
    si il y est dis moi en faisant un clic dessus ce qu'il y a marqué dans la fenetre de droite
    0
    1. VINIE
       
      J'ai regardé ce que tu m'as dit mais rien du tout j'ai tout sauf explorer.exe.
      0
  13. Utilisateur anonyme
     
    salut

    redemarre en mode sans echecs

    supprime:

    C:\ro.exe
    C:\WINDOWS\system32\keyboard.exe
    C:\WINDOWS\system32\lssas.exe <- ne confond pas avec lsass.exe qui est ok
    C:\WINDOWS\system32\notes.exe
    C:\Documents and Settings\pc\msdirectx.sys

    puis dans le registre tu vas sur chaques clés ci-dessous et tu verifie dans la fenetre de droite si tu vois des entrées concernant les fichiers infectés
    si tu trouve tu supprime

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

    ensuite tu refais un scan pour vérifier

    a+
    0
    1. VINIE
       
      Voici le résultat du scan
      J'ai pas pu enlever keyboard car il ne voulait pas
      ==========================================
      Results of Virus Detection Scan
      51047 files scanned, 4 file(s) infected.



      No viruses were detected in memory.

      The scan did not detect any viruses in the files it scanned. The scan does not scan compressed files.

      No viruses were detected in memory.

      The scan was cancelled before finishing. To restart the scan, click here.

      The scan did not detect any viruses in the files it scanned. The scan does not scan compressed files.

      Warning! The scan detected a virus that is active in your computer's memory.
      The scan ended to prevent further infection.

      You should shut down your computer immediately and restart it with an antivirus rescue disk or similar tool.


      No viruses were detected in memory.

      The scan detected one or more viruses in the files it scanned.

      To Fix This Problem:

      Search for the name of the virus(s) listed below on the Symantec Security Response site for removal information.


      No viruses were detected in memory.

      The scan detected one or more viruses in the files it scanned.

      Note: The scan was cancelled before finishing. There may be more infected files on this computer.

      To Fix This Problem:

      Search for the name of the virus(s) listed below on the Symantec Security Response site for removal information.


      A scan has not been run. To start Scan for Viruses, click here.

      C:\ro.exe is infected with Trojan.Dropper
      C:\WINDOWS\system32\keyboard.exe is infected with W32.Spybot.Worm
      C:\WINDOWS\system32\Logitechs.exe is infected with W32.Spybot.Worm
      C:\WINDOWS\system32\msdirectx.sys is infected with Hacktool.Rootkit
      0