Réparer les dégats de trojan.win32.vb.gq
Guille
-
Small Guille Messages postés 1 Date d'inscription Statut Membre Dernière intervention -
Small Guille Messages postés 1 Date d'inscription Statut Membre Dernière intervention -
Salut à tous, J'ai besoin de votre aide! Ma configuration : win xp où j'ai déjà essayé de faire la restauration, mais seulement le seul point de restauration que je retrouve est celui d'aujourd'hui Mon Pb : Kaspersky antivirus a détecté et éliminé le virus qu'il nomme trojan.win32.vb.gq de ma machine mais seulement, il n'a pas réparé les dégats causé par ce virus. maintenant impossible d'ouvrir mes fichiers m'affichent comme contenu : "Virus MlourdesHReloaded II ha atakdo esta computadora" "Virus 100% Méxicano, no es muy peligroso que digamos" "Pero tu has sido el rival más débil ¡Adios!" "Saludos a Ana Paty de Sinaloa y a Gedzac Labs" "Espero y se hallan pasado una feliz Navidad y un próspero año nuevo" "Feliz 2004 para todos" "Para mayor información enviar un e-mail a tips@esmas.com" "donde hablamos de computación en tu idioma" "" "*-Dime solo esta vez, que has pensado... solo esta vez -*" j'ai également la procédure d'élimination manuelle que j'ai trouvé : " Details: Installation and Autostart Upon execution, the malware drops and opens the host document file attached to its body in the current directory. This document file will inherit the file name of the executable file but with a .DOC extension. The malware then drops its virus code as LSASS.EXE in the Windows directory. It creates the following registry entry so that it executes at every system startup: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run Winlogon = "%Windows%\Lsass.exe" (Note: %Windows% directory is usually C:\WINNT in Windows NT and 2000 and C:\WINDOWS in Windows 95, 98, ME and XP. File Infection This virus infects MS Word documents (.DOC) by inserting its malicious code of 49,152 Bytes at the beginning of the host file. It may also infect in the floppy drives. After infection, this virus renames the extension from DOC into EXE. Once the infected file is executed, the virus extracts the host document file into the current directory and renames the extension back to DOC. The virus then opens the .DOC file and drops a copy of itself in the Windows directory. Payload After few hours on its residency, this malware attempts to overwrite all files in the local drives including floppy drives with the following text: "Virus MlourdesHReloaded II ha atakdo esta computadora" "Virus 100% Méxicano, no es muy peligroso que digamos" "Pero tu has sido el rival más débil ¡Adios!" "Saludos a Ana Paty de Sinaloa y a Gedzac Labs" "Espero y se hallan pasado una feliz Navidad y un próspero año nuevo" "Feliz 2004 para todos" "Para mayor información enviar un e-mail a tips@esmas.com" "donde hablamos de computación en tu idioma" "" "*-Dime solo esta vez, que has pensado... solo esta vez -*" The malware may also create this file in the root directory of drive C: MLHR_Corporation_GeDzAc.htm The said file contains strings written in Spanish. Other Details The malware also drops the file GeDzaC.mlh which appears to be a counter for the malware’s routines. "
mais seulement je n'ai trouvé et supprimé que l'entrée de la base de régistre correspondante
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Winlogon = "%Windows%\Lsass.exe"
et le fichier :
GeDzaC.mlh
je n'ai pas trouvé le fichier :
MLHR_Corporation_GeDzAc.htm
et je n'arrive donc toujours pas à ouvrir mes fichiers, donc si quelqu'un veut bien m'aider je lui serai vraiment reconnaissant,
Merci à tous
A voir également:
- Réparer les dégats de trojan.win32.vb.gq
- Réparer fichier word - Guide
- Réparer une clé usb non reconnue - Guide
- Reparer windows 10 - Guide
- Réparer une clé usb endommagée gratuit - Télécharger - Récupération de données
- Réparer spouleur d'impression windows 10 - Guide
3 réponses
salut
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.
aide en image:(Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
A+
Jean
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.
aide en image:(Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
A+
Jean
salut,
je dois partir et j'avoue ne pas avoir lu ton post en entier, vu ta m... car çà en est une vraie et nocive, tu trouveras de nombreux post sur le sujet en allant:
http://www.commentcamarche.net/forum/affich-725758-Virus-MlourdesHReloaded-II-ha-ata#61
deole pour toit mais je crois peu d'espoir.
a+
jean
je dois partir et j'avoue ne pas avoir lu ton post en entier, vu ta m... car çà en est une vraie et nocive, tu trouveras de nombreux post sur le sujet en allant:
http://www.commentcamarche.net/forum/affich-725758-Virus-MlourdesHReloaded-II-ha-ata#61
deole pour toit mais je crois peu d'espoir.
a+
jean
Bonjour,
Je suis toujours à la recherche de ma solution;
j'ai examiné le log de ma machine que j'ai posté et je trouve ces lignes suspectes :
O4 - Global Startup: InterVideo WinCinema Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
que va t'il se passer si je les supprime? en fait j'ai comparé aussi ce log au log d'une autre machine qui elle n'a aucune entrée pour microsoft office qui est bien installé.
Je vous rappelle que c'est ma première expérience sur le hijack et j'essaie de sauver mes données alors svp dites moi si c'est dangereux de le faire ou non.
Merci pour votre aide
Je suis toujours à la recherche de ma solution;
j'ai examiné le log de ma machine que j'ai posté et je trouve ces lignes suspectes :
O4 - Global Startup: InterVideo WinCinema Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
que va t'il se passer si je les supprime? en fait j'ai comparé aussi ce log au log d'une autre machine qui elle n'a aucune entrée pour microsoft office qui est bien installé.
Je vous rappelle que c'est ma première expérience sur le hijack et j'essaie de sauver mes données alors svp dites moi si c'est dangereux de le faire ou non.
Merci pour votre aide
Merci de ton assistance, voici le logfile que j'ai obtenu
Logfile of HijackThis v1.99.1
Scan saved at 08:19:25, on 07/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MusicMatch\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=040C&s=search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.braouz.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=040C&s=search
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&s=search&query=%s&i=enu
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.220.21.11:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{162260C2-1147-425C-A853-BE3282C90EF6}: NameServer = 193.220.21.11,193.219.193.135
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
(si en plus tu peux me donner un coup de main pour éliminer norton de ma machine parce que lui aussi je n'arrive pas à partir d'ajouter supprimer un programme)
Merci beaucoup pour ton assistance