Virus win\32gaelicum A
guyjo2 -
32 réponses
- 1
- 2
Le fil expose une infection virale persistante malgré l’usage répété de vcleaner.exe et un formatage, avec des logs HijackThis détaillant de multiples processus et éléments démarrés sur Windows XP SP2.
Des réponses convergent sur la nécessité d’un système à jour et d’un pare-feu efficace, puis un nettoyage en mode sans échec et la suppression des fichiers suspects comme DL.EXE ou GAELICUM.EXE.
D’autres éléments évoquent l’utilisation d’outils en ligne nécessitant des droits administratifs, des scans complémentaires via Sophos, et la vérification de fichiers Windows 98 comme SIGVERIF.exe et CLEANMGR.exe.
-
salut a toi teste un scan antivirus ici http://fr.bitdefender.com/scan/licence.php
as-tu un antivirus? et un pare feu?
si tu n'en a pas je te conseille kaspersky ou avast comme antivirus et zone alarm comme pare feu -
ok ton routeur devrait faire l'affaire pour l'instant . tu as fait le scan? tiens moi au courant
va ici aussi http://www.secuser.com/outils/antivirus.htm
poste les deux rapport de fin d'analyse ( fait un copier coller )-
je suis pas capable ni sur bitdefende ni sur secuser qui lui dit Code: -1001
Description: HouseCall (Lite version) Copyright © 1998-2000 Trend Micro Inc.
Either your browser does not support the object element or an error occurred while downloading the object. Unable to load the HouseCall ActiveX control
-
-
salut
verifie aussi si tu as ces fichiers dans c:\windows ou c:\windows\system32
DL.EXE, GAELICUM.EXE, CBACK.EXE
a+ -
tiens tu peux faire un scan antivirus en ligne ici aussi http://webscanner.kaspersky.fr/
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
-
-
salut dOne
je crois qu'il à choppé une belle saloperie, tout ses exe ou une bonne partie doivent etre infectés.... -
-
effectivement il attaque les .exe mais avec vcleaner ceux -ci fonctionne quand meme je vais sur le site avec IE je vous envoie ce que l'on dit dans l'encyclopedie de avg Virus Encyclopedia
Win32/Gaelicum.A
Win32/Gaelicum.A
alias: Win32.Tenga, W32.Licum, W32/Gael
It`s parasitic infector and internet worm.
Virus spreads itself exploiting Buffer Overrun In RPC Interface vulnerability described in Microsoft Security Bulletin MS03-026.
When the worm is launched, it infects .EXE files on all accessible drives.
Virus also tries to download trojan horse from the internet.
Healing:
Please download Vcleaner utility.
et il semble que le dernier site que tu m'as proposé Kaspersky va fonctionner car il fait la mise à jour présentement. Il le detect sur 171 fichier .exe du disque c: -
-
-
bon deja le virus que tu t'es choppé est une sorte de virus couplé a un trojan-downloader ( telechargeur de trojan si tu prefere ) et c'est vrai que c'est un beau bordel
en attendant je vais reflechir a ce que tu pourrais faire ( a moins que moe31 aie une idée miracle ) -
Je pense que je vais essayer la solution proposée sur ce site
http://www.sophos.fr/support/disinfection/filvir.html j'ai une question avant est-ce que OS2 c'est windows 98 2 éditions ? Moi j'ai Xp ! Que dois-je faire dans ce cas ? -
salut
tu as gardé le rapport de kaspersky ?
normalement apres l'analyse il faut cliquer sur un lien qui te donne le rapport détaillé. -
tu n'as pas a passer par OS/2 mais clique sur le lien qui correspond a ton OS ( OS c'est par exemple XP , windows 98,...)
pour XP il faut cliquer sur NT/2000
-
tu as gardé le rapport de kaspersky ? j'avais des boutons enregister en texte ou en html j'avais beau cliquer sur les deux rien ne se passait à moins qui a enregistre le rapport sur l'ordi mais dans ce cas je sais pas où !
-
par contre je peux te dire que AVG a refait un scan ce matin et me donne comme résultat : C:\Windows\SIGVERIF.exe virus identifié win32\gaelicum A infecté
C:\Windows\CLEANMGR.exe virus identifié win32\gaelicum A infecté
C:\Windows\E_SIINS2.exe virus identifié win32\gaelicum A infecté -
le probleme, c'est que se sont des fichiers sains à l'origine.
Est ce que avg à pu les nettoyer ?
tu as essayer de passer avg en mode sans echec ? -
tu es sous windows 98 ?
est ce que tu as hijackthis ?
si oui poste un rapport
a+ -
J'ai les deux systeme windows 98 et XP
voici le log
Logfile of HijackThis v1.99.1
Scan saved at 13:27:43, on 2005-10-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\LEXBCES.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\LEXPPS.EXE
H:\WINDOWS\Explorer.EXE
E:\AVG7\avgcc.exe
E:\AVG7\avgemc.exe
H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
e:\AVG7\avgamsvr.exe
E:\iTunes\iTunesHelper.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\MSN Messenger\msnmsgr.exe
E:\Skype\Skype.exe
e:\AVG7\avgupsvc.exe
H:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
H:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\iPod\bin\iPodService.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\wscntfy.exe
E:\Office\Office10\EXCEL.EXE
H:\Program Files\Internet Explorer\iexplore.exe
H:\Program Files\Internet Explorer\iexplore.exe
E:\AVG7\avgwb.dat
H:\Program Files\Internet Explorer\iexplore.exe
E:\Opera 8 Beta\Opera.exe
H:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - E:\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O4 - HKLM\..\Run: [AVG7_CC] e:\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] e:\AVG7\avgemc.exe
O4 - HKLM\..\Run: [MessengerPlus3] "E:\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo 825] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P22 "EPSON Stylus Photo 825" /O6 "USB002" /M "Stylus Photo 825"
O4 - HKLM\..\Run: [Ink Monitor] H:\Program Files\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "H:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "E:\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "H:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NBJ] "E:\néro 6.6\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Skype] "E:\Skype\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft Office.lnk = E:\Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - E:\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - E:\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - E:\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105990860426
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0DE9EEC-E941-4F34-B29F-BC9D17602BBB}: NameServer = 206.47.244.78 206.47.244.42
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - e:\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - e:\AVG7\avgupsvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - H:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - H:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - H:\WINDOWS\system32\LEXBCES.EXE -
AVG ne peut les reparer seul action possible mettre en quarantaine ou supprimer et non j'ai pas essayé de passer AVG en mode sans echec. Et pourquoi le passer en mode sans echec?
-
les processus que tu me cites:
C:\Windows\SIGVERIF.exe
C:\Windows\CLEANMGR.exe
C:\Windows\E_SIINS2.exe
et l'endroit ou ils se trouvent, appartiennent à windows 98
pour le mode sans echec, quelques fois les av arrivent à nettoyer alors qu'ils n'y arrivaient pas en mode normal.
sinon, rien de suspect dans le hijack -
et si je les supprime ces fichiers infectés et que je retourne les prendre sur le cd de windows 98 se cela pourrait etre une solution?
et je refais le scan en ligne pour voir si je peux avoir un rapport détaillé je te redonne des nouvelles du scan en attendant merci de m'aider car je sais plus quoi faire avec ce parasite.
- 1
- 2