Vinrus ineffacable help plz

rovic -  
jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   -
bonjour tous
j'ai un virus qui commence vraiment m'emer... grave j'ai avast et zone alarm adware et spybot le nom du virus c'est win32:trojan-gen{other} il contamine un fichier (ou ce fichier dois surement etre le virus) msdirectx.sys
avast me le repere mai ne le supprime pa et j'ai des alerte tt les 15 seconde j'ai deja essayé des scans en mode sans echec en ayant desactivez la restauration du systeme mai rien a fair ravantivirus ne me le nettoie pa non plu ni secuser j'ai meme essaye le scan au demarage d'avast
aidez moi plz j'arrette pa de formater et il est tjs la le virus (je le chope des que j'effectue ma premiere connection internet)

22 réponses

  • 1
  • 2
  1. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut,

    essaie
    A/ si tu ne les as pas, telecharge:

    Spybot S&D 1.4 et Ad-Aware SE 1.06
    http://www.lavasoftusa.com/software/adaware/
    http://www.safer-networking.org/fr/index.html

    puis sur
    http://www.florensac-chasse-trap.com

    pointe ton curseur sur « section virus » sans cliquer
    click sur le menu qui apparaît et charge

    CleanUp312.exe
    ne les utilise pas tout de suite

    idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/

    met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

    1) clic droit sur poste de travail
    propriété
    restauration systeme
    coche desactivé puis appliquer

    2) demarrer
    panneau de configuration
    outil
    option des dossiers
    affichage,
    coche afficher dossier cachés
    decoche : masquer extension des fichiers dont le type est connu
    masquer les fichiers protégés du systeme d'exploitation.

    3) demarre en mode sans echec.
    Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

    execute cleanup312.exe

    tu relances tes scan ad aware
    puis spy boot
    puis a2 free
    et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

    vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.

    redemarre

    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    fais un copier coller du log entier ici.

    A+

    Jean
    0
    1. rovic
       
      bah ces scan n'on servi a rien je te donne mon log hijackthis:
      Logfile of HijackThis v1.99.1
      Scan saved at 12:52:27, on 15/06/2005
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Documents and Settings\Robin\Bureau\HijackThis.exe
      C:\Program Files\Alwil Software\Avast4\setup\setup.ovr

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  2. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    et bien ecoute, je ne vois rien.

    ou en es tu de tes problemes??

    pour plus de securité, faits un scan en ligne

    http://www.ravantivirus.com/scan/

    Clic sur "To continue without subscribing click here"
    Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
    A la fin de l'analyse, copier/coller le rapport ici

    Si tu n’arrives pas à charger les activeX, va dans Iexplorer, outil, option, securité, choisir le niveau, selectionner moyen puis appliquer pui OK

    copie le loge et colle le ici

    jean
    0
  3. rovic
     
    Ben voila j'ai fai le scan et je donne le log:

    Scan started at 15/06/2005 13:42:17

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\Robin\msdirectx.sys - VirTool:WinNT/FURootkit.A -> Infected

    Scanned
    ============================
    Objects: 10355
    Directories: 748
    Archives: 360
    Size(Kb): 1988785
    Infected files: 1

    Found
    ============================
    Viruses found: 1
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 20
    en fait ce virus se met sur mon ordi apres formatage des que j'allume internet je ne sui pas un proffessionnel mai ce virus doi avoir mon ip ou qq chose comme ca pcq meme apres avoir reformater il revien des que j'effectue ma premiere connection
    0
  4. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    OK, dit moi, le log hijack, tu l'as fait en redemarrant en mode normal??
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. rovic
     
    mon log hijack:
    Logfile of HijackThis v1.99.1
    Scan saved at 14:03:05, on 15/06/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Robin\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  7. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    OK,

    supprime le fichier

    C:\Documents and Settings\Robin\msdirectx.sys

    si tu n'y arrives pas directement, fait le en mode sans echec

    (redemarre et tapotte sur F8...)

    redemarre en mode normal et refaits un rav antivirus pour verifier

    a+

    jean
    0
  8. rovic
     
    mai en fait je le supprime met des que je ferme la fenetre qui contient le fichier et que je me remet au meme endroit il reaparait ce qui veut dire que le fichier msdiretx.sys est insupprimable et qu'il doit y avoir une clef ou un fichier qui le restore a chaque foi qu'il est supprimer mai apres je sai pa lequell c'esr
    0
  9. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    tu as fait la manip en mode sans echec??
    0
  10. rovic
     
    oui oui je l'ai fait en mode sans echec
    0
  11. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    essayons celà,

    Télécharge l2mfix
    Ou
    http://www.downloads.subratam.org/l2mfix.exe

    Mets-le sur ton bureau.
    Double-clique sur l2mfix.
    Dans le dossier extrait, double-clique l2mfix.bat

    Tape sur n’importe quelle touche, ensuite choisis l'option 2 (et entrée).
    Attend qu'il termine il va redémarrer, après laisse le travailler.

    ensuite
    essaie de supprimer à nouveau
    C:\Documents and Settings\Robin\msdirectx.sys

    refait un scan
    0
  12. rovic
     
    ben voila j'ai fait avec le logiciel que tu m'a conseillé je te donne mon log mais le virus ne c pas effacé je commence vraiment a desesperer

    L2Mfix 1.03

    Running From:
    C:\Documents and Settings\Robin\Bureau\l2mfix

    RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
    Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
    This program is Freeware, use it on your own risk!

    Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
    (ID-NI) ALLOW Read BUILTIN\Utilisateurs
    (ID-IO) ALLOW Read BUILTIN\Utilisateurs
    (ID-NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
    (ID-IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
    (ID-NI) ALLOW Full access BUILTIN\Administrateurs
    (ID-IO) ALLOW Full access BUILTIN\Administrateurs
    (ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE

    Setting registry permissions:

    RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
    Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
    This program is Freeware, use it on your own risk!

    Denying C(CI) access for predefined group "Administrators"
    - adding new ACCESS DENY entry

    Registry Permissions set too:

    RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
    Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
    This program is Freeware, use it on your own risk!

    Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
    (CI) DENY --C------- BUILTIN\Administrateurs
    (ID-NI) ALLOW Read BUILTIN\Utilisateurs
    (ID-IO) ALLOW Read BUILTIN\Utilisateurs
    (ID-NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
    (ID-IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
    (ID-NI) ALLOW Full access BUILTIN\Administrateurs
    (ID-IO) ALLOW Full access BUILTIN\Administrateurs
    (ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE

    Setting up for Reboot

    Starting Reboot!

    C:\Documents and Settings\Robin\Bureau\l2mfix
    System Rebooted!

    Running From:
    C:\Documents and Settings\Robin\Bureau\l2mfix

    killing explorer and rundll32.exe

    Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
    Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
    Killing PID 1208 'explorer.exe'

    Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
    Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
    Error, Cannot find a process with an image name of rundll32.exe

    Scanning First Pass. Please Wait!

    First Pass Completed

    Second Pass Scanning

    Second pass Completed!

    Zipping up files for submission:
    updating: clear.reg (164 bytes security) (deflated 2%)
    updating: echo.reg (164 bytes security) (deflated 9%)
    updating: direct.txt (164 bytes security) (stored 0%)
    updating: lo2.txt (164 bytes security) (deflated 71%)
    updating: readme.txt (164 bytes security) (deflated 49%)
    updating: test.txt (164 bytes security) (stored 0%)
    updating: test2.txt (164 bytes security) (stored 0%)
    updating: test3.txt (164 bytes security) (stored 0%)
    updating: test5.txt (164 bytes security) (stored 0%)
    adding: log.txt (164 bytes security) (deflated 80%)
    updating: backregs/shell.reg (164 bytes security) (deflated 73%)

    Restoring Registry Permissions:

    RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
    Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
    This program is Freeware, use it on your own risk!

    Revoking access for predefined group "Administrators"
    Inherited ACE can not be revoked here!
    Inherited ACE can not be revoked here!

    Registry permissions set too:

    RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
    Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
    This program is Freeware, use it on your own risk!

    Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
    (ID-NI) ALLOW Read BUILTIN\Utilisateurs
    (ID-IO) ALLOW Read BUILTIN\Utilisateurs
    (ID-NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
    (ID-IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
    (ID-NI) ALLOW Full access BUILTIN\Administrateurs
    (ID-IO) ALLOW Full access BUILTIN\Administrateurs
    (ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE

    Restoring Sedebugprivilege:

    Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332

    The following Is the Current Export of the Winlogon notify key:
    ****************************************************************************
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    "Asynchronous"=dword:00000000
    "Impersonate"=dword:00000000
    "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
    6c,00,00,00
    "Logoff"="ChainWlxLogoffEvent"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
    "Asynchronous"=dword:00000000
    "Impersonate"=dword:00000000
    "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
    6c,00,6c,00,00,00
    "Logoff"="CryptnetWlxLogoffEvent"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
    "DLLName"="cscdll.dll"
    "Logon"="WinlogonLogonEvent"
    "Logoff"="WinlogonLogoffEvent"
    "ScreenSaver"="WinlogonScreenSaverEvent"
    "Startup"="WinlogonStartupEvent"
    "Shutdown"="WinlogonShutdownEvent"
    "StartShell"="WinlogonStartShellEvent"
    "Impersonate"=dword:00000000
    "Asynchronous"=dword:00000001

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
    "DLLName"="wlnotify.dll"
    "Logon"="SCardStartCertProp"
    "Logoff"="SCardStopCertProp"
    "Lock"="SCardSuspendCertProp"
    "Unlock"="SCardResumeCertProp"
    "Enabled"=dword:00000001
    "Impersonate"=dword:00000001
    "Asynchronous"=dword:00000001

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
    "Asynchronous"=dword:00000000
    "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
    6c,00,6c,00,00,00
    "Impersonate"=dword:00000000
    "StartShell"="SchedStartShell"
    "Logoff"="SchedEventLogOff"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
    "Logoff"="WLEventLogoff"
    "Impersonate"=dword:00000000
    "Asynchronous"=dword:00000001
    "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
    6c,00,6c,00,00,00

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
    "DLLName"="WlNotify.dll"
    "Lock"="SensLockEvent"
    "Logon"="SensLogonEvent"
    "Logoff"="SensLogoffEvent"
    "Safe"=dword:00000001
    "MaxWait"=dword:00000258
    "StartScreenSaver"="SensStartScreenSaverEvent"
    "StopScreenSaver"="SensStopScreenSaverEvent"
    "Startup"="SensStartupEvent"
    "Shutdown"="SensShutdownEvent"
    "StartShell"="SensStartShellEvent"
    "PostShell"="SensPostShellEvent"
    "Disconnect"="SensDisconnectEvent"
    "Reconnect"="SensReconnectEvent"
    "Unlock"="SensUnlockEvent"
    "Impersonate"=dword:00000001
    "Asynchronous"=dword:00000001

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
    "Asynchronous"=dword:00000000
    "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
    6c,00,6c,00,00,00
    "Impersonate"=dword:00000000
    "Logoff"="TSEventLogoff"
    "Logon"="TSEventLogon"
    "PostShell"="TSEventPostShell"
    "Shutdown"="TSEventShutdown"
    "StartShell"="TSEventStartShell"
    "Startup"="TSEventStartup"
    "MaxWait"=dword:00000258
    "Reconnect"="TSEventReconnect"
    "Disconnect"="TSEventDisconnect"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    "DLLName"="wlnotify.dll"
    "Logon"="RegisterTicketExpiredNotificationEvent"
    "Logoff"="UnregisterTicketExpiredNotificationEvent"
    "Impersonate"=dword:00000001
    "Asynchronous"=dword:00000001

    The following are the files found:
    ****************************************************************************

    Registry Entries that were Deleted:
    Please verify that the listing looks ok.
    If there was something deleted wrongly there are backups in the backreg folder.
    ****************************************************************************
    REGEDIT4

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    REGEDIT4

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
    ****************************************************************************
    Desktop.ini Contents:
    ****************************************************************************
    ****************************************************************************
    0
  13. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    attend,

    le but n'etait pas de l'effacer mais de casser la chaine qui le regenere.

    l'as tu effacé en mode sans echec?

    si oui fait un scan chez rav, si non efface le et refait le scan.
    0
  14. rovic
     
    ben j'ai fai ce que tu m'a fait j'a appuyez sur 2 pui j'ai laisser travaillerensuite il m'affiche ce log et je l'ai copier coller
    0
  15. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    j'ai bien compris, mais je te demande maintenant de refaire la manip de....

    supprime le fichier

    C:\Documents and Settings\Robin\msdirectx.sys

    si tu n'y arrives pas directement, fait le en mode sans echec

    (redemarre et tapotte sur F8...)

    redemarre en mode normal et refaits un rav antivirus pour verifier
    0
  16. rovic
     
    oui j'ai deja essaye mai meme si je le supprime il reaparit tt de suite apres j'ai aussi detecté le fichier rdriv.sys qui se situe ds le dossier systeme 32 de windows lui aussi impossible de le supprimer il revien tt le temp
    une autre idée pour virer le virus ?
    0
  17. rovic
     
    je reposte le log du ravantivirus

    Scan started at 15/06/2005 20:41:26

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XYA0WW36\emote[1].exe - TrojanDownloader:Win32/Small.ABH -> Infected

    Scanned
    ============================
    Objects: 10717
    Directories: 823
    Archives: 344
    Size(Kb): -2062442
    Infected files: 1

    Found
    ============================
    Viruses found: 1
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 21
    0
  18. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Salut,

    tu as certainement remarqué que le virus trouvé n'est plus lemême.

    essaie de supprimer

    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XYA0WW36\emote[1].exe

    en mode sans echec
    après cleanup
    et lance A2 free en mode sans echec
    0
  19. rovic
     
    je crois que ravantivirus l'avait supprimé
    le virus ne s'est pas modifié (du moin je pense ) msdirectx.sys est toujours present mai avast me trouve maintenant et qu'au scan du demarrage le fichier rdrive.sys
    je croi que je v reformater ùais ce qui m'inkiete plus c'est que je v acheter un nouvel ordi aujourd'hui et si je me rechope le virus alors la c le suicide^^ je v fair un autre post ou je v demander a tous ceux qui on chopé se virus de m'expliquer comment ils on fait pour s'en debarrasser
    0
  20. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    ce qui a de bizard c'est que rav ne signale pas le virus que tu annonce,
    mais
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XYA0WW36\emote[1].exe - TrojanDownloader:Win32/Small.ABH -> Infected

    as tu supprimé ce fichier?

    le trojan infecte tes fichiers celà ne veut pas dire que ce sont eux le trojan. Donc si tu le trouve toujours mais qu'il n'est pas detecté comme malsain alors c'est ok.

    essaie la manip ci dessus avant autre chose.
    0
  21. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    oubli,

    pour rav scan il faut cocher la case auto clean pour nettoyage eventuel en ligne.
    0
  • 1
  • 2