Virus virus virus encor des virus
bryan drack
-
Utilisateur anonyme -
Utilisateur anonyme -
bonjour a tous,
comme d'ab aussitot que j'ai un petit souci je me tourne vers vous car vous etes tres utiles pour le bon fonctionnement de mes pc, et pour cela je vous en remecie d'avance.
Voila j'ai lance un scan sur un pc infecter, je ne pourrais vous dire quel virus est entrain de nuire au bon fonctionnement de mon pc
le scan :
Scan started at 10/06/05 2:37:47 PM
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINNT\system32\sd32.exe - Backdoor:Win32/Rbot -> Infected
C:\Documents and Settings\ta.CRM1\Local Settings\Temporary Internet Files\Content.IE5\29OJ2R6B\CAXGIJR1.HTM - Exploit:HTML/MhtRedir.gen* -> Infected
Scanned
============================
Objects: 25950
Directories: 1050
Archives: 312
Size(Kb): 1312593
Infected files: 2
Found
============================
Viruses found: 2
Suspicious files: 0
Disinfected files: 0
Mail files: 105
2nd scan hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 3:39:40 PM, on 10/06/05
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\ORL\VNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\sd32.exe
C:\WINNT\system32\sd32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\administrateur\Local Settings\Temp\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Win H0st Manager] sd32.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\TA3445~1.CRM\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunServices: [Win H0st Manager] sd32.exe
O4 - HKLM\..\RunOnce: [Win H0st Manager] sd32.exe
O4 - HKCU\..\Run: [Win H0st Manager] sd32.exe
O4 - HKCU\..\RunOnce: [Win H0st Manager] sd32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/KhphnAEqDlUThVnsjpk.chm::/on-line.exe
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = crm.mu
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0E94113-BE98-4D62-805C-146F26CE8750}: NameServer = 192.168.11.50,213.244.0.15,213.244.0.16
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = crm.mu
O17 - HKLM\System\CS1\Services\Tcpip\..\{A0E94113-BE98-4D62-805C-146F26CE8750}: NameServer = 192.168.11.50,213.244.0.15,213.244.0.16
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = crm.mu
O17 - HKLM\System\CS2\Services\Tcpip\..\{A0E94113-BE98-4D62-805C-146F26CE8750}: NameServer = 192.168.11.50,213.244.0.15,213.244.0.16
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\ORL\VNC\WinVNC.exe" -service (file missing)
voila jespere que ces renseignements pourront vous etes utile.
Merci d'avance et bon courage.
p.s : a 16 hrs je quitte le bureau, si toutefois je n'ai pas repondu a vos message je le ferai sans fautes.
Merci encore une fois
Bryan
comme d'ab aussitot que j'ai un petit souci je me tourne vers vous car vous etes tres utiles pour le bon fonctionnement de mes pc, et pour cela je vous en remecie d'avance.
Voila j'ai lance un scan sur un pc infecter, je ne pourrais vous dire quel virus est entrain de nuire au bon fonctionnement de mon pc
le scan :
Scan started at 10/06/05 2:37:47 PM
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINNT\system32\sd32.exe - Backdoor:Win32/Rbot -> Infected
C:\Documents and Settings\ta.CRM1\Local Settings\Temporary Internet Files\Content.IE5\29OJ2R6B\CAXGIJR1.HTM - Exploit:HTML/MhtRedir.gen* -> Infected
Scanned
============================
Objects: 25950
Directories: 1050
Archives: 312
Size(Kb): 1312593
Infected files: 2
Found
============================
Viruses found: 2
Suspicious files: 0
Disinfected files: 0
Mail files: 105
2nd scan hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 3:39:40 PM, on 10/06/05
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\ORL\VNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\sd32.exe
C:\WINNT\system32\sd32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\administrateur\Local Settings\Temp\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Win H0st Manager] sd32.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\TA3445~1.CRM\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunServices: [Win H0st Manager] sd32.exe
O4 - HKLM\..\RunOnce: [Win H0st Manager] sd32.exe
O4 - HKCU\..\Run: [Win H0st Manager] sd32.exe
O4 - HKCU\..\RunOnce: [Win H0st Manager] sd32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/KhphnAEqDlUThVnsjpk.chm::/on-line.exe
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = crm.mu
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0E94113-BE98-4D62-805C-146F26CE8750}: NameServer = 192.168.11.50,213.244.0.15,213.244.0.16
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = crm.mu
O17 - HKLM\System\CS1\Services\Tcpip\..\{A0E94113-BE98-4D62-805C-146F26CE8750}: NameServer = 192.168.11.50,213.244.0.15,213.244.0.16
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = crm.mu
O17 - HKLM\System\CS2\Services\Tcpip\..\{A0E94113-BE98-4D62-805C-146F26CE8750}: NameServer = 192.168.11.50,213.244.0.15,213.244.0.16
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\ORL\VNC\WinVNC.exe" -service (file missing)
voila jespere que ces renseignements pourront vous etes utile.
Merci d'avance et bon courage.
p.s : a 16 hrs je quitte le bureau, si toutefois je n'ai pas repondu a vos message je le ferai sans fautes.
Merci encore une fois
Bryan
A voir également:
- Virus virus virus encor des virus
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
- Ordinateur bloqué virus - Accueil - Arnaque
1 réponse
bonjour,
C:\WINNT\system32\sd32.exe - Backdoor:Win32/Rbot -> Infected <--non désinfecté (à supprimer au moyen de l'hijack + suppression de l'exe infectée)
C:\Documents and Settings\ta.CRM1\Local Settings\Temporary Internet Files\Content.IE5\29OJ2R6B\CAXGIJR1.HTM - Exploit:HTML/MhtRedir.gen* -> Infected (isolé mais non supprimé)
supprimer le dossier 29OJ2R6B/ localisé --> C:-->\-->Documents and Settings\-->ta.CRM1\-->Local Settings\-->Temporary Internet Files\-->Content.IE5<-- ici
(options internet/afficher les dossiers cachés/vider le cache)
ce programme est à supprimé APRES les fix dans l'hijack
C:\WINNT\system32<--localisé ici\sd32.exe
C:\WINNT\system32\sd32.exe
(se réplique dans les processus/mais ne devrait être présent qu'1 fois en principe)
1° Fixer
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank <-- c'est voulu? (*)
Les lignes 04
1) ctrl/alt/supp : clic/arrêter
2) repasse sur le log et fixe
O4 - HKLM\..\Run: [Win H0st Manager] sd32.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\TA3445~1.CRM\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunServices: [Win H0st Manager] sd32.exe
O4 - HKLM\..\RunOnce: [Win H0st Manager] sd32.exe
O4 - HKCU\..\Run: [Win H0st Manager] sd32.exe
O4 - HKCU\..\RunOnce: [Win H0st Manager] sd32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=about:blank <-- je te le demande à cause de ça.. (*)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http$://dl.ad-ware.cc/Khphn...
*ferme TOUS les programmes
*fixe les lignes vérolées dans l'hijack (coche chaque case & Fix Checked)
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille) (à faire en dernier après les suppressions)
2° recherche et supprime le fichier
C:\WINNT\system32\-->sd32.exe
1) affiche les dossiers cachés : important
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[!coche!] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[!décoche!] la case "Masquer les fichiers protégés du système d'exploitation" *
2) passe en mode sans échec : (de préférence)
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php
3) recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32\---> supprime : [trucbidule].exe
4) redémarre en mode normal - vide ton cache internet (C:\Documents and Settings\NomUtilisateur\Local Settings\Temporary Internet Files
/ou/options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
C:\WINNT\system32\sd32.exe - Backdoor:Win32/Rbot -> Infected <--non désinfecté (à supprimer au moyen de l'hijack + suppression de l'exe infectée)
C:\Documents and Settings\ta.CRM1\Local Settings\Temporary Internet Files\Content.IE5\29OJ2R6B\CAXGIJR1.HTM - Exploit:HTML/MhtRedir.gen* -> Infected (isolé mais non supprimé)
supprimer le dossier 29OJ2R6B/ localisé --> C:-->\-->Documents and Settings\-->ta.CRM1\-->Local Settings\-->Temporary Internet Files\-->Content.IE5<-- ici
(options internet/afficher les dossiers cachés/vider le cache)
ce programme est à supprimé APRES les fix dans l'hijack
C:\WINNT\system32<--localisé ici\sd32.exe
C:\WINNT\system32\sd32.exe
(se réplique dans les processus/mais ne devrait être présent qu'1 fois en principe)
1° Fixer
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank <-- c'est voulu? (*)
Les lignes 04
1) ctrl/alt/supp : clic/arrêter
2) repasse sur le log et fixe
O4 - HKLM\..\Run: [Win H0st Manager] sd32.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\TA3445~1.CRM\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunServices: [Win H0st Manager] sd32.exe
O4 - HKLM\..\RunOnce: [Win H0st Manager] sd32.exe
O4 - HKCU\..\Run: [Win H0st Manager] sd32.exe
O4 - HKCU\..\RunOnce: [Win H0st Manager] sd32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=about:blank <-- je te le demande à cause de ça.. (*)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http$://dl.ad-ware.cc/Khphn...
*ferme TOUS les programmes
*fixe les lignes vérolées dans l'hijack (coche chaque case & Fix Checked)
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille) (à faire en dernier après les suppressions)
2° recherche et supprime le fichier
C:\WINNT\system32\-->sd32.exe
1) affiche les dossiers cachés : important
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[!coche!] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[!décoche!] la case "Masquer les fichiers protégés du système d'exploitation" *
2) passe en mode sans échec : (de préférence)
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php
3) recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32\---> supprime : [trucbidule].exe
4) redémarre en mode normal - vide ton cache internet (C:\Documents and Settings\NomUtilisateur\Local Settings\Temporary Internet Files
/ou/options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
