pb virus Résolu

Question

Bonsoir !

Suite à des ralentissement de mon PC, j'ai fait un scan en ligne sur un site qui m'a annoncé plusieurs trojans mais aucun actif (IP closed je crois). Donc, par précausion, j'ai lancé a², qui n'a détecté que des malwares. Ensuite PC DoorGuard, qui lui détecte un virus dans un fichier (virus name "DK2.2SETUP") mais n'arrive pas à l'effacer apparemment. Norton lui ne voit rien sur ce fichier.
Donc, deux questions (je sais, j'abuse) :
_ je laisse mes trojans tranquilles (et je leur sers à boire) ou je peux les virer ?
_ j'aimerai bien garder le fichier annoncé infecté par DoorGuard, sauf cas de force majeur. Est-ce une erreur (et donc je désinstalle DoorGuard aussi sec) ou dois-je vraiment le supprimer? (manuellement il va gentillement à la corbeille, mais je n'ai pas essayer de la vider)

merci à vous
(classe ce site je ne connaissais pas, je le recommanderai)
(oui je sais j'abuse aussi des parenthèses)

Afficher la suite

jean38 · Answer

salut,plutot que de te repondre rapidement, je te conseille de faire Scan anti virus rave ici: http://www.ravantivirus.com/scan/ Clic sur "To continue without subscribing click here" Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC". A la fin de l'analyse, copier/coller le rapport ici Si tu n’arrives pas à charger les activeX, va dans Iexplorer, outil, option, securité, choisir le niveau, selectionner moyen puis appliquer pui OKselon sa reponse, si tu es effectivement infecté alors voici dejà le point de depart à realiser:A/ si tu ne les as pas, telecharge: Spybot S&D 1.4 et Ad-Aware SE 1.06 http://www.lavasoftusa.com/software/adaware/ http://www.safer-networking.org/fr/index.htmlpuis Clean Up 40 : http://pageperso.aol.fr/balltrap34/CleanUp40.exe -aide en image:(merci a Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm ne les utilise pas tout de suite idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.1) clic droit sur poste de travail propriété restauration systeme coche desactivé puis appliquer 2) demarrer panneau de configuration outil option des dossiers affichage, coche afficher dossier cachés decoche : masquer extension des fichiers dont le type est connu masquer les fichiers protégés du systeme d'exploitation. 3) demarre en mode sans echec. Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)4) execute cleanup40.exe tu relances tes scan tyon AVad aware puis spy boot puis a2 freeet vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir). vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.  redemarretelecharge hijackthis: http://www.merijn.org/files/hijackthis.zip Dezippe le dans un dossier prévu a cet effet. Par exemple C:\hijackthis lance le puis: clic sur "do a system scan and save logfile" et pas autre chose fais un copier coller du log entier ici. aide en image:(Merci a Balltrap34 pour cette réalisation) http://pageperso.aol.fr/balltrap34/demohijack.htm A+Jean

Utilisateur anonyme · Answer

Je suis le boss et Jean ma secretaireMoi je suis benevole lol

jean38 · Answer

et oui si t'avais une idée pour que çà paie, je pense que malgré notre passion, on serait preneur, surtout avant les vacances.tu sais une désinfection suit un cheminement à peu prés standard.les vrais pros, ce sont ceux qui savent continuer quand les chemins sont moins classiques...A toutejean

Golgoth · Answer

mdrokbon la secrétaire (;op) pour l'instant g déjà 4 trojans, je lance les dl?

jean38 · Answer

dis moi cher ami,t'as 2 ordi ou tu n'es pas en mlode sans echec???car tu risques si tu est en mode normal de ne pas pouvoir les supprimer.et si c'etais le boss, il t'aurais dit la même chose, alors t'imagines la secretaire...mais meme secretaire çà paie pas et en plus le boss il veut coucher alors.....

Golgoth · Answer

Très cherben non je suis tjs en scan sur le site RAV... je patiente. Du coup g tout téléchargé, comme ça c'est fait...TU peux monter un site d'aide payant, ou avec des tas de pop-up très chiant mais qui te permettront d'aller au resto sans te faire invité par le patron.(ouais, un suspicious en plus, je livre les info du scan en live)

jean38 · Answer

oui mais çà c'est rien:ci parès un extrait de son post lolll crack crack..mais rien de mechant lolll....merci pour tout regis59..c'est vraiment sympa de ta part de repondre et pour tout ce que tu as fait....le site est mes favoris....sinon vu que je suis dans le sport,si t'as des problemes articulaires ou autres soucis de forme en sport contact moi..lollll ..suis plus affuté sur les methodes d'entrainement montagnarde....:) etr oui chaqun son truc loll.. ps:heuu tu crois que ce que je viens de marquer comme "crack etc.." peuvent m'attirer des problemes?? ce sera le dernier message avant.....mon prochain probleme..lollll Regis59...a mon avis on a un ami commun dans le nord....voire meme lille...un certain..q......fab??non??? @+..... ben•   < 25 > - fond d'ecran warning you are in a danger Ajouté par regis59 (27/06/2005 à 22:27 GMT+2) de rien, pour les articulations, je t enverrais balltrap et jean qui sont bcp plus vieux que moi lol et pour crack etc non tu n auras pas de soucis :-) certain..q......fab? euh.....je pense pas, je connais personne sur lille lolc'est limite de l'infamie non?

balltrap34 · Answer

a ces gamins grrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrr

TrojanKillerNewby · Answer

(alias Golgoth, c'était déjà pris comme pseudo)c'est très lent ou c'est moi qui m'emmerde ?(je suis sur une connexion cable et aucune autre activité, 'fin sur l'ordi...)bon ça se termine apparemment.En attendant, merci à M. Pillou pour son site.Et désolé pour les foteu d'orthographe. Mon ordi se remet à lagger pour information. Meme méchament.1h plus tard, vélà l'travail :Scan started at 30/06/2005 22:08:10 Scanning memory...Scanning boot sectors...Scanning files...C:\Documents and Settings\marbo\Local Settings\Temporary Internet Files\Content.IE5\UR2NQ1UR\classload[1].jar->GetAccess.class - Trojan:Java/ClassLoader -> InfectedC:\Documents and Settings\marbo\Local Settings\Temporary Internet Files\Content.IE5\UR2NQ1UR\classload[1].jar->InsecureClassLoader.class - Java/Bytverify -> InfectedC:\Documents and Settings\marbo\Local Settings\Temporary Internet Files\Content.IE5\UR2NQ1UR\classload[1].jar->Dummy.class - Trojan:Java/ClassLoader (exact) -> InfectedC:\Documents and Settings\marbo\Local Settings\Temporary Internet Files\Content.IE5\UR2NQ1UR\classload[1].jar->Installer.class - TrojanDownloader:Java/OpenConnection.F -> InfectedC:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> SuspiciousScanned============================	Objects: 49146	Directories: 3765	Archives: 915	Size(Kb): 82669	Infected files: 4Found============================	Viruses found: 4	Suspicious files: 1	Disinfected files: 0	Mail files: 190alors, alors, c grave docteur?

jean38 · Answer

désolé je te quitte sinon divorce ...content de t'avoir lu depuis le temps entre mes deplacements et les tiens...pas simple.Bonne nuitil y a un jeano73 qui travaille sur nail. Je ne sais s'il est toujours en action mais je sais que tu le verras.je lui ai preconisé mainip^avec i2mfix mais restera le fichier qui chandge de nom à virer.si tout à marcher....a+WE ardeche et bateau en familleà la semaine prochaine et la bise au boss.... mais au vrai pas à la copie.. lol

jean38 · Answer

ben oui mais peut etre que tu peux essayer cela:A/ si tu ne l'as pas, telecharge:  Clean Up 40 : http://pageperso.aol.fr/balltrap34/CleanUp40.exe -aide en image:(merci a Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm ne utilise le tout de suite tes pb sont dans un dossier temporaire.pour Winrar suspicious, c'est un faux danger.a+

jean38 · Answer

lance clean up, tu referas un scan çà devrait aller mieux.tu le sorts d'ou ce nom, rien dans le scan de rav.prend tes aises, on est sur un site d'amis, ç'est sympa non??

TrojanKillerNewby · Answer

ben t pas couché toi?elle dort déjà? ;o)(je prends mes aises du coup...)je le sors de DoorGuard (cf premier message)je lance le scan

jean38 · Answer

si là je suis entrain de prendre des coups de chaise et sur la tete çà fait mal.bonne nuitet si çà marche pas et bien dit toi que je dors... loltout devrait être OK sinon pas bien grave.tu feras quand même pour demain:telecharge hijackthis: http://www.merijn.org/files/hijackthis.zip Dezippe le dans un dossier prévu a cet effet. Par exemple C:\hijackthis lance le puis: clic sur "do a system scan and save logfile" et pas autre chose fais un copier coller du log entier ici. a+parce que je trouve bizard que ton scan rav soit si long, il y a peut être d'autres choses à voir ailleurs.promis demain si mes blessures sont soignées, je regarde çà et je te reponds dès 6h30;;; ET OUIBonne nuit jean

TrojanKillerNewby · Answer

bonRAV n'a rien trouvé dans les Documents and settingsdonc c'est bon !la classe !je le laisse terminer au cas où

TrojanKillerNewby · Answer

merci encore jeanune bise à madame, milles excuses de la part de ces abrutis kizi connaissent rien et qui squattent son mari à pas d'heure !

balltrap34 · Answer

salut jeantient essai le nouvel aide hijack je l est modifier

jean38 · Answer

comme promis, juste un mot pour te confirmer que je regarde... oui je sais 6H56 un peu de retard mais beaucoup de mail ce matin.ball trap je fonce voir l'aide Hijack.a+ à tousjean

TrojanKillerNewby · Answer

salut les lèvent tôt !pendant qu'on y est c'est quoi svchost.exe?Logfile of HijackThis v1.99.1Scan saved at 7:33:48, on 1/07/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\NORTON~1
avapw32.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exeC:\WINDOWS\system32\ctfmon.exeC:	hemeGold55\CursorXP\CursorXP.exeC:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeC:\WINDOWS\system32\wscntfy.exeC:\WINDOWS\system32\wuauclt.exeC:\Hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1
avapw32.exeO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"O4 - HKLM\..\Run: [http://www.lienvandekelder.be] \Van de Kelder Lien.exeO4 - HKLM\..\RunServices: [http://www.lienvandekelder.be] \Van de Kelder Lien.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [CursorXP] C:	hemeGold55\CursorXP\CursorXP.exe -sO4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silentO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: Pinnacle Scheduler.lnk = ?O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO14 - IERESET.INF: START_PAGE_URL=http://www.google.frO16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05d1f57704d3084cbc18/netzip/RdxIE601_fr.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107113273265O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

TrojanKillerNewby · Answer

_ Petits pains OK_ Café chaud OK_ Cendrier vidé OK_ Temps de m..... OKc'est bon ! j'suis prêt !ouskisson les vilains ouskisson ? Crochet droite gauche uppercut menvaitemeles écraser comme des punaises malodorantes purulentes virulentes infâmantes (euh)alors ? alors ?

jean38 · Answer

salutn'oublie pas que tu es sur le meilleur site de connaissances donc tu trouves ta reponsehttp://www.commentcamarche.net/processus/svchost-exe.php3... Pour le logje regarde et je reviens

TrojanKillerNewby · Answer

j'ai hontepas pensé à me débrouiller par moi-mêmerrrhhhaaaaa la jeunesse

jean38 · Answer

et bien dis donc, quel instinct pour un gars qui a peu dormi...

tu as choppé un sacré ver (attention j'ai pas dit de chopper un verre)
Ce ver se propage par l’intermédiaire de la messagerie. Il collecte les adresses de courriel dans le dossier cache des pages Internet consultées (dossier Temporary Internet), dans le carnet d’adresses de Windows (Windows address book ou WAB) ainsi que dans certains fichiers susceptibles d’en contenir.
Il produit également des adresses en mixant les noms et les domaines qu’il a déjà emmagasinés lors de sa propagation.
Il se diffuse à tous en se joignant au message envoyé en utilisant sont propre moteur de courrier (SMTP).

donc:

rebelotte mais match...

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

4) lance hijack, ferme le bloc note et coche les cases devant les lignes:

O4 - HKLM\..\Run: [http://www.lienvandekelder.be] \Van de Kelder Lien.exe

O4 - HKLM\..\RunServices: [http://www.lienvandekelder.be] \Van de Kelder Lien.exe

valide par fix cheked

redemarre en mode normal.

ensuite, ouvre ton bloc note, et tu vas ouvrir le fichier suivant:

C:/WINDOWS/System32/drivers/etc/hosts
choisis pour ouvrir afficher tous les fichiers dans la fenetre windows et non pas que les fichiers .txt

a l'interieur tu ne devrais avoir que ceci:
<Gras>127,0,0,1 localhost
ATTENTION GARDE BIEN CETTE ENTREE ET SUPPRIME LES AUTRES

autres entrée doivent être supprimées du style :
ce que tu peux trouver:

o 127,0,0,1 avp.com
o 127,0,0,1 ca.com
o 127,0,0,1 customer.symantec.com
o 127,0,0,1 dispatch.mcafee.com
o 127,0,0,1 download.mcafee.com
o 127,0,0,1 f-secure.com
o 127,0,0,1 kaspersky.com
o 127,0,0,1 kaspersky-labs.com
o 127,0,0,1 liveupdate.symantec.com
o 127,0,0,1 liveupdate.symantecliveupdate.
o 127,0,0,1 mast.mcafee.com
o 127,0,0,1 mcafee.com
o 127,0,0,1 microsoft.com
o 127,0,0,1 my-etrust.com
o 127,0,0,1 nai.com
o 127,0,0,1 networkassociates.com
o 127,0,0,1 oxyd.fr
o 127,0,0,1 rads.mcafee.com
o 127,0,0,1 secure.nai.com
o 127,0,0,1 securityresponse.symantec.com
o 127,0,0,1 sophos.com
o 127,0,0,1 symantec.com
o 127,0,0,1 t35.com
o 127,0,0,1 t35.net
o 127,0,0,1 trendmicro.com
o 127,0,0,1 update.symantec.com
o 127,0,0,1 updates.symantec.com
o 127,0,0,1 us.mcafee.com
o 127,0,0,1 viruslist.com
o 127,0,0,1 viruslist.com
o 127,0,0,1 virustotal.com
o 127,0,0,1 www.avp.com
o 127,0,0,1 www.ca.com
o 127,0,0,1 www.f-secure.com
o 127,0,0,1 www.grisoft.com
o 127,0,0,1 www.kaspersky.com
o 127,0,0,1 www.mcafee.com
o 127,0,0,1 www.microsoft.com
o 127,0,0,1 www.msn.com
o 127,0,0,1 www.my-etrust.com
o 127,0,0,1 www.nai.com
o 127,0,0,1 www.networkassociates.com
o 127,0,0,1 www.oxyd.fr
o 127,0,0,1 www.sophos.com
o 127,0,0,1 www.symantec.com
o 127,0,0,1 www.t35.com
o 127,0,0,1 www.t35.net
o 127,0,0,1 www.trendmicro.com
o 127,0,0,1 www.viruslist.com
o 127,0,0,1 www.virustotal.com

quand c'est fait, sauvegarde le fichier et fermez.

redemarre en mode normal et re hijack.

TrojanKillerNewby · Answer

J'ai tout bien fait ce que vous m'avez dit docteur. Alors, guéri?(moi je ne vois plus rien)Logfile of HijackThis v1.99.1Scan saved at 8:55:53, on 1/07/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\NORTON~1
avapw32.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exeC:\WINDOWS\system32\ctfmon.exeC:	hemeGold55\CursorXP\CursorXP.exeC:\valve\steam\steam.exeC:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeC:\WINDOWS\system32\wscntfy.exeC:\Hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1
avapw32.exeO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [CursorXP] C:	hemeGold55\CursorXP\CursorXP.exe -sO4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silentO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: Pinnacle Scheduler.lnk = ?O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO14 - IERESET.INF: START_PAGE_URL=http://www.google.frO16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05d1f57704d3084cbc18/netzip/RdxIE601_fr.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107113273265O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

jean38 · Answer

un vrai log de nouveau né.

je crois qu'on va devoir se quitter... Sniff
après tant de nuits passées ensemble....

au fait t'as trouver des entrées verreuses dans le fichier hosts??
juste pour confirmer.

amitiés

Jean

TrojanKillerNewby · Answer

bon
j'avoue
j'ai même pas regardé... mdr... ctrl+switch+down et suppr dans la foulée
merci pour ton aide, je pense qu'elle a été utile, rien qu'au démarrage on voit que le pc tourne mieux
Amitiés à toi et à ta femme ;o)

jean38 · Answer

certe mais il ne devait y avoir qu'un entrée donc si tel n'etait pas le cas c'est donc que le ver avait attaqué.

t'as laissé quand même
127,0,0,1 localhost

??

rapidité pas toujours appropriée... Proverbe chinois

attention, la route qui monte est la même que celle qui descend

TrojanKillerNewby · Answer

Problème de ralentissements incongrus

Source détectée: un ver

mode de résolution:
Scan anti virus rave ici:
http://www.ravantivirus.com/scan/
Clic sur "To continue without subscribing click here"
Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici

Si tu n’arrives pas à charger les activeX, va dans Iexplorer, outil, option, securité, choisir le niveau, selectionner moyen puis appliquer pui OK

1h plus tard, vélà l'travail :
Scan started at 30/06/2005 22:08:10

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\marbo\Local Settings\Temporary Internet Files\Content.IE5\UR2NQ1UR\classload[1].jar->GetAccess.class - Trojan:Java/ClassLoader -> Infected
C:\Documents and Settings\marbo\Local Settings\Temporary Internet Files\Content.IE5\UR2NQ1UR\classload[1].jar->InsecureClassLoader.class - Java/Bytverify -> Infected
C:\Documents and Settings\marbo\Local Settings\Temporary Internet Files\Content.IE5\UR2NQ1UR\classload[1].jar->Dummy.class - Trojan:Java/ClassLoader (exact) -> Infected
C:\Documents and Settings\marbo\Local Settings\Temporary Internet Files\Content.IE5\UR2NQ1UR\classload[1].jar->Installer.class - TrojanDownloader:Java/OpenConnection.F -> Infected
C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious

Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne utilise le tout de suite

tes pb sont dans un dossier temporaire.

telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

(extraits résultats hijackthis)
O4 - HKLM\..\Run: [http://www.lienvandekelder.be] \Van de Kelder Lien.exe
O4 - HKLM\..\RunServices: [http://www.lienvandekelder.be] \Van de Kelder Lien.exe

là jeannot bondit de son siège et fit moults copier-coller pour décrire la procédure décrite en message 28

J'obtempérais
Et hop !
pu de ver !!!
Est-ce que ça marche pour le ténia?

Salut !

Pb virus

28 réponses

Votre réponse

Discussions similaires

Newsletters