Virus RBOT.AQY et PEABOT.B.3

esteban -  
 Utilisateur anonyme -
BOnjour ,
voila j' ai ces 2 virus que je ne pervient pas a affacer RBOT.AQY et PEABOT.B.3 . j'ai vu qu'il y a un post sur le premier et une variante du deuxième ,et je voulais savoir si c'est la même methode .
Mais je tourne sur win xp SP1 .
merci

6 réponses

  1. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut,

    A/ si tu ne les as pas, telecharge:

    Spybot S&D 1.4 et Ad-Aware SE 1.06
    http://www.lavasoftusa.com/software/adaware/
    http://www.safer-networking.org/fr/index.html

    puis sur
    http://www.florensac-chasse-trap.com

    pointe ton curseur sur « section virus » sans cliquer
    click sur le menu qui apparaît et charge

    CleanUp312.exe
    ne les utilise pas tout de suite

    idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/

    met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

    1) clic droit sur poste de travail
    propriété
    restauration systeme
    coche desactivé puis appliquer

    2) demarrer
    panneau de configuration
    outil
    option des dossiers
    affichage,
    coche afficher dossier cachés
    decoche : masquer extension des fichiers dont le type est connu
    masquer les fichiers protégés du systeme d'exploitation.

    3) demarre en mode sans echec.
    Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

    execute cleanup312.exe

    tu relances tes scan ad aware
    puis spy boot
    puis a2 free
    et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

    vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.

    redemarre

    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    fais un copier coller du log entier ici.

    A+

    Jean
    0
  2. esteban
     
    Logfile of HijackThis v1.99.1
    Scan saved at 11:55:22, on 15/06/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    F:\WINDOWS\System32\smss.exe
    F:\WINDOWS\system32\winlogon.exe
    F:\WINDOWS\system32\services.exe
    F:\WINDOWS\system32\lsass.exe
    F:\WINDOWS\system32\svchost.exe
    F:\WINDOWS\System32\svchost.exe
    F:\WINDOWS\system32\spoolsv.exe
    F:\Program Files\AVPersonal\AVGUARD.EXE
    F:\Program Files\AVPersonal\AVWUPSRV.EXE
    F:\WINDOWS\System32\nvsvc32.exe
    F:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    F:\WINDOWS\Explorer.EXE
    F:\WINDOWS\System32\svchost.exe
    F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
    F:\WINDOWS\System32\msnq3insller.exe
    F:\WINDOWS\System32\RUNDLL32.EXE
    F:\Program Files\AVPersonal\AVGNT.EXE
    F:\WINDOWS\System32\wisecues.exe
    F:\WINDOWS\System32\ctfmon.exe
    F:\WINDOWS\System32\msnq3insller.exe
    C:\logiciels\antivirus et malwares\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - F:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - F:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - F:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O5 "LPT1:" /M "Stylus CX3600"
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
    O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [AVGCtrl] F:\Program Files\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [Microsoft Security Controler] wisecues.exe
    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
    O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
    O4 - HKLM\..\RunServices: [Microsoft Security Controler] wisecues.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "F:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - F:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    0
  3. esteban
     
    voila j'ai fais un scan Hijackthis,
    Que dois-je faire ensuite, s'il vous plait!
    Merci beaucoup
    0
  4. Utilisateur anonyme
     
    Bonjour,

    Méthode a suivre dans l'ordre...
    ---------------------------------------------------------------------------------------
    ¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:

    Spybot S&D 1.4 et Ad-Aware SE 1.06 <<nouvelles versions
    http://www.lavasoftusa.com/software/adaware/
    http://www.safer-networking.org/fr/index.html

    3/Clean Up 312:
    http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

    -----------------------------------------
    ¤Démarre en mode sans echec :
    Pour cela, tu tapote la touche F8 des le debut de l allumage du pc sans t arreter
    Une fenetre va souvrir tu te deplaces avec les fleches du clavier sur demarrer en mode sans echec puis tape entrée.
    Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
    (Si F8 ne marche pas utilise la touche F5)
    ----------------------------------------------------------
    ¤Désactive ta restauration systeme:
    Clic droit sur poste de travail puis,
    propriété, tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    ------------------------------------
    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer !
    ---------------------------------
    ¤Vide tes fichiers temps et tempory internet file:
    utilise ceci pour le faire (tu as telecharger avant)
    3/http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
    --------------------------------------------
    ¤Relance Hijack This, coche les cases devant ces lignes et ensuite clik sur fix:

    O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe

    O4 - HKLM\..\Run: [Microsoft Security Controler] wisecues.exe

    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE

    O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe

    O4 - HKLM\..\RunServices: [Microsoft Security Controler] wisecues.exe

    O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab

    ------------------------------------------
    ¤Recherche et supprime ceci:
    attention seulement les fichiers

    F:\WINDOWS\System32\msnq3insller.exe
    F:\WINDOWS\System32\wisecues.exe
    C:\UNMT.EXE

    ---------------------------------

    --------------------
    Passe adaware et vire tous se qu il trouve
    ----------------------------------
    Passe spybot et vire tous se qu il trouve
    -----------------------------------
    Tu vide ta poubelle et tu redemarre en mode normal et refait un Hijack

    Precise tes soucis si il en restes....

    Tiens moi au courant

    a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. esteban
     
    et bien ca a l'air d'aller un peu mieux !
    Je viens de faire un scan par trend micro en ligne et il ne trouve plus les deux virus !
    Par contre il trouve celui la : TROJ STARTPGE.AK , qui apparait comme "non cleanable" ... donc si vous avez une solution ,je m'en remet a vous .
    Merci beaucoup pour le temps et l'aide que vous m'accorder !
    0
  7. Utilisateur anonyme
     
    salut,
    tu indiquer le chemin ou il te le detecte?

    a+
    0