WORM_RBOT.GEN

Résolu
Utilisateur anonyme -  
 Utilisateur anonyme -
salut à tout le monde, c'est encore moi, j'en ais marre, encore 1 virus, ahhh (:

j'ai un probléme avec " WORM_RBOT.GEN ", mon antivirus, pare-feu ( trend micro internet security 12), le détecte mais ne peut, ni le mettre en quarantaine, le néttoyé ou le supprimer, il se cache dans : C\WINDOWS\SYSTEM32\Issas32.exe ou C\WINDOWS\SYSTEM32\LSSAS32.exe ,

mon systéme d'exploitation est windows xp1, merci à vous .

Logfile of HijackThis v1.99.1
Scan saved at 23:46:23, on 05/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Netmon.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe
C:\WINDOWS\System32\spoolvs.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\NETGEAR GA311 Adapter\GA311.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKLM\..\Run: [Microsoft Command Line] wincmd.exe
O4 - HKLM\..\Run: [Microsoft Update 23] spoolvs.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Microsoft Command Line] wincmd.exe
O4 - HKLM\..\RunServices: [Microsoft Update 23] spoolvs.exe
O4 - Global Startup: GA311 Smart Wizard Utility.lnk = C:\Program Files\NETGEAR GA311 Adapter\GA311.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB3F1F7F-2AC5-4D0F-9500-1F86ACD483A8}: NameServer = 80.118.192.111 80.118.196.41
O23 - Service: Net Functions Monitoring (Netmon) - Unknown owner - C:\WINDOWS\system32\Netmon.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

PS : pourquoi mon log hijackthis est aussi petit ? est ce normal ? j'ai bien fais " do a system scan and save a log file "

je rajoute un rapport de EWIDO :

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\K923KXE7\wnguardsF32[1].exe/3.html -> Spyware.Linker : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\K923KXE7\wnguardsF32[1].exe/ss.exe -> Trojan.LowZones.d : Nettoyer et sauvegarder
C:\WINDOWS\system32\li32.exe -> Trojan.Crypt.d : Nettoyer et sauvegarder
C:\Documents and Settings\at home\Cookies\at home@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\at home\Cookies\at home@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\at home\Cookies\at home@xxxtoolbar[2].txt -> Spyware.Cookie.Xxxtoolbar : Nettoyer et sauvegarder

PS: si vous pouviez me dire ce que c'est : Netmon.exe merci à tous .

6 réponses

  1. Utilisateur anonyme
     
    Oula tu es bien infecte
    Ton log est comme il est , si tu l as fait en mode normal c est bon !
    Netmon.exe -->Pocessus mauvais (un virus il me semble)
    T affoles pas lol
    Je te l analyse des que j ai manger

    a+
    0
  2. Utilisateur anonyme
     
    Bonjour,

    Méthode a suivre dans l'ordre...
    ----------------------------------------------------------------------------
    ¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:

    1/Spybot S&D 1.4 <<nouvelle version
    http://www.safer-networking.org/fr/index.html

    Démo d utilisation (merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

    2/Ad-Aware SE 1.06 <<nouvelle version
    http://www.lavasoftusa.com/software/adaware/
    -Une aide:
    http://www.tutopat.com/viewtopic.php?t=1191
    - installe le patch français, tu pourra le trouver ici:
    http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
    et une petite vidéo ici d'utilisation:(merci a Moe31 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/adawrevid.asf

    3/Clean Up 40:
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    -aide en image:(merci a Balltrap34)
    http://pageperso.aol.fr/balltrap34/democleanup.htm
    ----------------------------------------------------------------------------
    ¤Démarre en mode sans échec :
    Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
    (Si F8 ne marche pas utilise la touche F5)
    ----------------------------------------------------------------------------
    ¤Désactive ta restauration système:
    Clic droit sur poste de travail puis,
    propriété, tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    ----------------------------------------------------------------------------
    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer !
    ----------------------------------------------------------------------------
    ¤Vide tes fichiers temps et tempory internet file:
    utilise ceci pour le faire (tu as télécharger avant)
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    ----------------------------------------------------------------------------
    ¤Relance Hijack This, coche les cases devant ces lignes et ensuite click sur fix checked :

    O4 - HKLM\..\Run: [Microsoft Command Line] wincmd.exe

    O4 - HKLM\..\Run: [Microsoft Update 23] spoolvs.exe

    O4 - HKLM\..\RunServices: [Microsoft Command Line] wincmd.exe

    O4 - HKLM\..\RunServices: [Microsoft Update 23] spoolvs.exe

    O23 - Service: Net Functions Monitoring (Netmon) - Unknown owner - C:\WINDOWS\system32\Netmon.exe

    ----------------------------------------------------------------------------
    ¤Recherche et supprime ceci:
    attention seulement les fichiers (si present)

    wincmd.exe
    spoolvs.exe ATTENTION A L ECRITURE ! spoolsv existe mais lui est bon !
    C:\WINDOWS\system32\Netmon.exe
    ----------------------------------------------------------------------------
    ¤Arrete ces services :

    Click sur Démarrer->exécuter->tape: services.msc

    Double-clique: Service: Net Functions Monitoring (Netmon)

    Règle-le sur "Arrêté" et "Désactivé".
    ----------------------------------------------------------------------------
    ¤ Passe adaware et vire tous se qu il trouve
    ----------------------------------------------------------------------------
    ¤ Passe spybot et vire tous se qu il trouve
    ----------------------------------------------------------------------------
    > Tu vide ta poubelle et tu redémarre en mode normal et refait un Hijack

    Précise tes soucis si il en restes....

    Tiens moi au courant

    a+
    0
    1. Utilisateur anonyme
       
      salut, merci pour la rapidité

      Logfile of HijackThis v1.99.1
      Scan saved at 17:40:35, on 06/08/2005
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
      C:\WINDOWS\System32\devldr32.exe
      C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe
      C:\Program Files\NETGEAR GA311 Adapter\GA311.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
      C:\WINDOWS\System32\taskmgr.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Program Files\hijackthis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"
      O4 - Global Startup: GA311 Smart Wizard Utility.lnk = C:\Program Files\NETGEAR GA311 Adapter\GA311.exe
      O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
      O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
      O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
      O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
      O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
      O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
      O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
      O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
      O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

      ça a l'air de fonctionner depuis le coup de propre .

      j'ai un autre probléme, ça fait 6 mois que je suis sur internet via 9 télécom, modem 9box, depuis le 1er jour d'inscription je reçois des virus et autres, même pendant le test de connection adsl à l'installation du cd d'installe 9 box ( le test adsl dure 30secondes), hier pendant ces 30secondes j'ai chopé WORM_RBOT.GEN, je venais de formater, j'avais pas encore téléchargé les mises à jour pour trend micro vu que la connection était en fin d'installation, bref c'est lourd, je comprends pas non plus pourquoi trend micro ne peut ni le supprimer, le mettre en quarantaine ou le néttoyé le WORM_RBOT.GEN, du coup je voudrais changer mon adresse IP si c'est possible, je crois qu'avec 1 ami à la premiére installation du kit adsl le 9, ns eûmes fais une bétise, car à la premiére nous nous sommes connectés sans pare-feu ni antivirus, ce qui fait qu'en moins de 30secondes ns étions infestés de site gays ( je dis bien gay ), pour une premiére connection le désastre, en même temps ns avions eus SASSER depuis je me demande si ces " gens " ont pas tout simplement mon adresse ip et que même si je formate il retrouve l'adresse, suis je parano ? ):
      0
  3. Utilisateur anonyme
     
    salut
    fais ce scan en ligne
    http://www.bitdefender.com/scan/licence.php
    copie/colle le rapport

    ----------
    ton ip dois etre dynamique !
    verifie !
    tape demarer < executer tape ipconfig
    note ton ip

    deconnecte toi, puis reconnecte toi
    refais le meme
    compare, si ce st pas la meme t es en ip dynamique
    -------
    un peu parano lol

    a+
    0
    1. Utilisateur anonyme
       
      coucou, voici le résultat bitdefender :

      BitDefender Online Scanner - Real Time Virus Report
      Generated at: Sat, Aug 06, 2005 - 23:53:07
      Scan Info
      Scanned Files
      37916
      Infected Files
      0
      Virus Detected
      No virus found.
      This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

      J'ai fais 1 scan aussi chez sécuser.com, il a rien trouvé non plus .


      pour ce qui est de " ipconfig " j'ai une fenêtre dos qui s'ouvre mais ça va trop vite, je n'ais pas le temps de lire, comment faire pour ralentir la chose ?

      voila re merci ;-)
      0
  4. Utilisateur anonyme
     
    salut pmlo,
    tu etais connecte a internet?
    Il me semble que tu dois fermer toutes les applications !
    alors ferme tout ce qui est ouvert (internet, word etc) et reessai la manipulation...

    juste pour voir si ca marche, j en suis pas sur

    a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    re moi,
    fais ca, j ai chercher ds ma tete depuis tt a l heure
    demarer<executer< tape cmd.exe < ensuite tape ipconfig

    tu va l avoir la

    a+
    0
    1. Utilisateur anonyme
       
      salut régis, je viens d'avoir mon ip, via CMD et ipconfig résultat :

      carte ethernet connection réseau local :

      rien change au redémarrage de l'ordinateur, tous reste pareil .

      connection adsl :

      adresse ip : change à chaque redémarrage
      masque de sous réseau : ne change pas
      passerelle par défault : change à chaque redémarrage

      suis je en ip dynamique ?


      j'aurais autres questions aussi pour voir comment tu paramétre pour une connection adsl, j'ai une neuf box ( 9 télécom ), avec une carte ethernet NETGEAR311, l'installe du kit adsl s'installe bien il reconnait la carte réseau et à la fin de l'installe, il lance le test de connection qui fonctionne trés bien, mais j'ai 1 souci aprés pour le téléchargement ( même avec le pare-feu windows désactivé, c'est pas mon pare-feu qui bloque car il est sur moyen au niveau sécurité )
      exemple TuneUp utilitys version free chez info de net.com, j'ai mis 15minutes pour le télécharger, normalement ça met genre 20secondes, quand je fais des tests de connection je suis tout le temps dans le rouge, je suis en 2048, j'ai l'impréssion d'étre en 56k (:


      voila merci à toi si tu as une idée.
      0
  7. Utilisateur anonyme
     
    re,

    j'ai oublié de dire, j'ai téléchargé le pack 2 ( windows ) mais pendant l'installation il me dit que l'adresse ip est non reconnue et que windows service pack 2 ne peut étre installé, hier dans éxécuter j'ai tapé cmd.exe
    la fenêtre ouverte j'ai tapé ip config et la il s'est rien passé, juste la fermeture de cette fenêtre ( je me demande si c'est pas à cause de ça que mon ip est non reconnue à l'installation du pack 2 maintenant ), j'ai réessayé ce matin, cmd.exe dans la fenêtre ipconfig et la ça a marché j'avais tous ( je te précise qu'hier quand ça marchait pas j'étais hors connection avec rien d'ouvert ) .

    qu'en pense tu ?

    ps: je l'ais déja installé le pack 2 ça a jamais causé de probléme avec l'adresse ip, c'est bizarre, c'est que depuis ce matin pendant l'installe .
    0