Virus win 32

jeannot57 -  
 baboune45 -
Je suis infecté par un virus Win32/Rootkit.Agent.AE Cheval de Troie qui infecte le fichier C:/Windows\System32\hpdriver.sys

L'antivirus NOD32 détecte ce virus mais ne peut le supprimer ou le nettoyer. J'ai essayé moi même de le supprimer mais à chaque fois il réapparait.

Que faire?

Je suis un nouvel utilisateur, je ne connais rien en informatique.

Quelqu'un pourrait-il m'aider?

Merci
Configuration: windows xp

12 réponses

  1. jeannot57
     
    j'ai bien télécharger et fais un scan.
    Dans le rapport, il est indiqué :
    aucun malware trouvé

    merci quand même d'avoir essayé de m'aider mais cela n'a pas abouti.

    Y a peut être une autre solution?
    0
  2. jeannot57
     
    voici le résultat du scan kaprsky :

    -------------------------------------------------------------------------------
    KASPERSKY ON-LINE SCANNER REPORT
    Monday, August 22, 2005 15:04:50
    Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
    Kaspersky On-line Scanner version: 5.0.67.0
    Kaspersky Anti-Virus database last update: 22/08/2005
    Kaspersky Anti-Virus database records: 136487
    -------------------------------------------------------------------------------

    Scan Settings:
    Scan using the following antivirus database: standard
    Scan Archives: true
    Scan Mail Bases: true

    Scan Target - Folders:
    C:\WINDOWS\system32\

    Scan Statistics:
    Total number of scanned objects: 5256
    Number of viruses found: 4
    Number of infected objects: 39
    Number of suspicious objects: 0
    Duration of the scan process: 300 sec

    Infected Object Name - Virus Name
    C:\WINDOWS\system32\drivers\etc\hosts Infected: Trojan.Win32.Qhost
    C:\WINDOWS\system32\hpdriver.V00sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V01sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V02sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V03sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V04sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V05sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V06sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V07sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V08sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V09sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V10sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V11sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V14sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V16sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V18sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V19sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V20sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V21sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V22sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V23sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V24sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V25sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V26sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V27sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V28sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.V32sys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\hpdriver.Vsys Infected: Rootkit.Win32.Agent.ae
    C:\WINDOWS\system32\i Infected: Trojan-Downloader.BAT.Ftp.ab
    C:\WINDOWS\system32\o Infected: Trojan-Downloader.BAT.Ftp.ab
    C:\WINDOWS\system32\setup_01828.exe Infected: Backdoor.Win32.SdBot.aad
    C:\WINDOWS\system32\setup_01837.exe Infected: Backdoor.Win32.SdBot.aad
    C:\WINDOWS\system32\setup_07086.exe Infected: Backdoor.Win32.SdBot.aad
    C:\WINDOWS\system32\setup_37803.exe Infected: Backdoor.Win32.SdBot.aad
    C:\WINDOWS\system32\setup_50772.exe Infected: Backdoor.Win32.SdBot.aad
    C:\WINDOWS\system32\setup_71213.exe Infected: Backdoor.Win32.SdBot.aad
    C:\WINDOWS\system32\setup_78267.exe Infected: Backdoor.Win32.SdBot.aad
    C:\WINDOWS\system32\setup_81351.exe Infected: Backdoor.Win32.SdBot.aad
    C:\WINDOWS\system32\setup_84852.exe Infected: Backdoor.Win32.SdBot.aad

    Scan process completed.

    et voila le contenu de hijacthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 15:08:38, on 22/08/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\bcmwltry.exe
    C:\WINDOWS\System32\carpserv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\Media Gateway\MediaGateway.exe
    C:\windows\msbb.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\Propriétaire\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
    C:\WINDOWS\ntfsprotect.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom Câble
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\windows\msbbhook.dll
    O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\Downloaded Program Files\sponsoradulto.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Removecpl] removecpl.exe
    O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
    O4 - HKLM\..\Run: [msbb] c:\windows\msbb.exe
    O4 - HKLM\..\Run: [ufar] C:\WINDOWS\ufar.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
    O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d8a71c41b1417e6bc8076faef53b88227c2b7c1f1eda8bc15ef2ddf450c61f2b25b5b75615e0f8348ae2dc877d0b70fc9051e923601f7e3f0663710745773b53:391c802b39acc695ee676fd4c28c535f
    O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124554031743
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: NTFSprotect (ntfsdiscman) - Unknown owner - C:\WINDOWS\ntfsprotect.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    c'est plus grave que je pensais
    0
  3. jeannot57
     
    après avoir fais toutes les manipulations voici le résultat :
    ca a été dur car lors des scans avec kapersky, mon ordinateur s'est coupé plusieurs fois.

    malgré ca, dans mon entourage on m'a donné un fichier qui se nomme : FxSasser.exe qui m'a permis de détruire le virus W32/Rootkit.Agent.ae cheval de Troie que NOD32 n'arrivait pas à nettoyer ou supprimer.

    il y a encore 2 virus autres que ceux trouvés avant.

    je remercie quand même ceux qui essaies de m'aider pour le temps qu'il me consacre.

    -------------------------------------------------------------------------------
    KASPERSKY ON-LINE SCANNER REPORT
    Monday, August 22, 2005 22:41:53
    Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
    Kaspersky On-line Scanner version: 5.0.67.0
    Kaspersky Anti-Virus database last update: 22/08/2005
    Kaspersky Anti-Virus database records: 136566
    -------------------------------------------------------------------------------

    Scan Settings:
    Scan using the following antivirus database: standard
    Scan Archives: true
    Scan Mail Bases: true

    Scan Target - Folders:
    C:\WINDOWS\

    Scan Statistics:
    Total number of scanned objects: 14250
    Number of viruses found: 2
    Number of infected objects: 2
    Number of suspicious objects: 0
    Duration of the scan process: 1491 sec

    Infected Object Name - Virus Name
    C:\WINDOWS\mcsecure.exe Infected: Backdoor.Win32.SdBot.aad
    C:\WINDOWS\system32\drivers\etc\hosts Infected: Trojan.Win32.Qhost

    Scan process completed.

    Logfile of HijackThis v1.99.1
    Scan saved at 22:43:19, on 22/08/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\bcmwltry.exe
    C:\WINDOWS\System32\carpserv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\Media Gateway\MediaGateway.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\a2\a2guard.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\Propriétaire\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Services/resultsmaster/ResultsMasterHomeLeftPane.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom Câble
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Removecpl] removecpl.exe
    O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
    O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {69FD62B1-0216-4C31-8D55-840ED86B7C8F} (HbInstObj) - http://installs.hotbar.com/installs/hotbar/programs/hotbar.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124554031743
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://frgoldenriviera.microgaming.com/frgoldenriviera/FlashAX.cab
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  4. jeannot57
     
    c'est fait. A priori plus de virus...
    Merci à tous ceux qui aident les autres.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. baboune45
     
    bonjour a tous win 32

    ca me bloque tout + et bidefender et ca rame
    0
  7. Utilisateur anonyme
     
    Salut,
    Telecharge ceci :

    A2 Free (anti-trojans et worms)
    http://www.emsisoft.net/fr/software/download/

    Et scan ton pc avec !

    Tiens moi au courant

    A+
    -1
    1. Virginie
       
      Bonjour
      J'ai vu que tu as su répondre pour un cheval de troie un peu similaire au mien donc je te sollicite.

      J'ai été infecté par un rootkit : processus cachés malware: win32:DNS changer.UX. est ce que tu peux me conseiller quelques choses. merci par avance.


      VIrginie
      0
  8. Utilisateur anonyme
     
    salut

    commence par faire un scan ici:
    http://webscanner.kaspersky.fr/
    et poste le rapport ici

    ensuite telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijack
    et surtout pas dans un dossier temporaire (temp)
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
    Si tu as du mal, regarde ceci:
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    a+
    -1
  9. Utilisateur anonyme
     
    salut

    Déconnecte toi d'internet:

    Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:

    Désactive la restauration systéme.
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".
    clic sur ok pour valider

    Redémarre en mode sans échec
    Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    gras> Vide le cache de tous les navigateurs et supprime les cookies:

    Pour Internet Explorer:
    * Panneau de configuration >> Options internet >> Onglet "Général"
    - Clic sur [supprimer les cookies]
    - Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
    Valide avec ok

    Pour Firefox:
    menu 'Outils' > Options
    icône 'Vie privée'
    rubrique Cache, appuyer sur le bouton "Vider le cache"
    rubrique Cookies appuyer sur le bouton "Effacer"
    valide ok

    Pour Mozilla
    Edition > Préférences > Avancé > Cache
    clic sur "Vider le cache"
    et pour les cookies:
    Outils > Gestionnaire de cookies > Gérer les cookies stockés
    clic sur "Supprimer les cookies"
    valider ok

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Dans le menu Demarrer>Executer >tape: Services.msc
    recherche le service avec cette orthographe exacte:
    NTFSprotect
    Double clic dessus et clic sur [arreter] puis dans :
    type de demarrage --> sélectionne désactivé.
    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite:

    Demarrer > executer tape cmd
    valide

    dans la fenetre dos tape ou copie et colle ceci:

    sc delete ntfsdiscman
    valide

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur [do a system scan only]
    cocher la case au début des lignes suivantes:

    O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\windows\msbbhook.dll
    O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\Downloaded Program Files\sponsoradulto.dll (file missing)
    O4 - HKLM\..\Run: [msbb] c:\windows\msbb.exe
    O4 - HKLM\..\Run: [ufar] C:\WINDOWS\ufar.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d8a71c41b1417e6bc8076faef53b88227c2b7c1f1eda8bc15ef2ddf450c61f2b25b5b75615e0f8348ae2dc877d0b70fc9051e923601f7e3f0663710745773b53:391c802b39acc695ee676fd4c28c535f
    O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab

    valider en cliquant sur [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Recherche et supprime:

    Dans le cas ou tu utiliserais la fonction Rechercher:
    Assure toi que dans:
    Tous les fichiers et tous les dossiers >> Options avancées
    • Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
    • Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
    • Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !

    Supprimer les fichiers en suivant le chemin des fichiers infectés, plutot que d'utiliser la fonction "Rechercher"

    S'ils sont présents, supprime:

    c:\windows\msbb.exe
    C:\WINDOWS\ufar.exe
    C:\WINDOWS\ntfsprotect.exe
    C:\WINDOWS\system32\hpdriver.V00sys
    C:\WINDOWS\system32\hpdriver.V01sys
    C:\WINDOWS\system32\hpdriver.V02sys
    C:\WINDOWS\system32\hpdriver.V03sys
    C:\WINDOWS\system32\hpdriver.V04sys
    C:\WINDOWS\system32\hpdriver.V05sys
    C:\WINDOWS\system32\hpdriver.V06sys
    C:\WINDOWS\system32\hpdriver.V07sys
    C:\WINDOWS\system32\hpdriver.V08sys
    C:\WINDOWS\system32\hpdriver.V09sys
    C:\WINDOWS\system32\hpdriver.V10sys
    C:\WINDOWS\system32\hpdriver.V11sys
    C:\WINDOWS\system32\hpdriver.V14sys
    C:\WINDOWS\system32\hpdriver.V16sys
    C:\WINDOWS\system32\hpdriver.V18sys
    C:\WINDOWS\system32\hpdriver.V19sys
    C:\WINDOWS\system32\hpdriver.V20sys
    C:\WINDOWS\system32\hpdriver.V21sys
    C:\WINDOWS\system32\hpdriver.V22sys
    C:\WINDOWS\system32\hpdriver.V23sys
    C:\WINDOWS\system32\hpdriver.V24sys
    C:\WINDOWS\system32\hpdriver.V25sys
    C:\WINDOWS\system32\hpdriver.V26sys
    C:\WINDOWS\system32\hpdriver.V27sys
    C:\WINDOWS\system32\hpdriver.V28sys
    C:\WINDOWS\system32\hpdriver.V32sys
    C:\WINDOWS\system32\hpdriver.Vsys
    C:\WINDOWS\system32\i
    C:\WINDOWS\system32\o
    C:\WINDOWS\system32\setup_01828.exe
    C:\WINDOWS\system32\setup_01837.exe
    C:\WINDOWS\system32\setup_07086.exe
    C:\WINDOWS\system32\setup_37803.exe
    C:\WINDOWS\system32\setup_50772.exe
    C:\WINDOWS\system32\setup_71213.exe
    C:\WINDOWS\system32\setup_78267.exe
    C:\WINDOWS\system32\setup_81351.exe
    C:\WINDOWS\system32\setup_84852.exe

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite, tres important:

    :: Supprimer les fichiers temporaires ::

    * C:\Documents and Settings\ton compte\Local Settings\Temp
    * C:\Temp
    * C:\Windows\Temp
    vider tout le contenu de ces dossiers.

    :: Le contenu du dossier prefetch ::

    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

    * Ne pas oublier de vider la corbeille !

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    relance hijackthis et clic sur "open the misc tools section"
    clic sur delete a file on reboot
    dans la fenetre qui s'ouvre et dans "nom du fichier"
    copie et colle ceci:
    C:\WINDOWS\system32\hpdriver.Vsys

    Redemarre normalement et reposte un log hijack pour vérifier l'évolution

    refais aussi un scan de controle chez kaspersky

    a+
    -1
  10. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut Moe,

    t'as jeté un oeil au post de Eric, je crois que çà y est pour nail.
    -1
  11. Utilisateur anonyme
     
    salut jean

    beau boulot, je crois que nail, est ce que j'ai vu de pire à virer.

    a+
    -1
  12. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    t'as raison, le pb c'est qu'à la fin d'une manip, tu sais même pas ce qui a eu réellement sa peau...

    synthèse à prevoir...lol

    A+

    Jean
    -1
  13. Utilisateur anonyme
     
    salut

    supprime C:\WINDOWS\mcsecure.exe

    et ouvre le fichier C:\WINDOWS\system32\drivers\etc\hosts
    (rend visible les fichiers cachés avant), avec le bloc notes.
    il ne dois contenir que

    127.0.0.1 localhost
    enregistre

    redemarre le pc et refais un scan de controle

    a+
    -1