Virus w32.spybot.worm
Résolu/Fermé
tom54
Messages postés
73
Date d'inscription
samedi 5 novembre 2005
Statut
Membre
Dernière intervention
23 août 2011
-
17 déc. 2005 à 00:04
MAROUANE ELAMRAOUI - 14 févr. 2011 à 16:21
MAROUANE ELAMRAOUI - 14 févr. 2011 à 16:21
18 réponses
Bonjour,
Nous avons subi une attaque du virus W32.Spybot.Worm qui crée un service WinSpoolSvc et un exécutable CRSSC.EXE
J'ai fabriqué un antidote qui fonctionne à tous les coups:
Ouvrer le gestionnaire de programme et surveiller le process CSRSC.EXE
Dans un fichier batch:
taskkill /F /IM csrsc.exe /T
del C:\windows\system32\csrsc.* /F
del C:\windows\system32\X.* /F
del C:\Windows\Prefetch\CSRSC.* /F
regedit /s W32.Spybot-Worm-Remove.REG
taskkill /F /IM csrsc.exe /T
del C:\windows\system32\csrsc.* /F
del C:\windows\system32\X.* /F
del C:\Windows\Prefetch\CSRSC.* /F
regedit /s W32.Spybot-Worm-Remove.REG
Le fichier W32.Spybot-Worm-Remove.REG :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSpoolSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSpoolSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinSpoolSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinSpoolSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinSpoolSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\WinSpoolSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\WinSpoolSvc]
Le problème est qu'il faut que le PC soit à jour au niveau des correctifs nécessaires de Microsoft, sinon, le virus revient.
Il faut donc lancer un Windows Update et ré appliquer le petit programme si le process CSRSC.EXE réapparaît.
Je n'arrive pas à trouver quel est le correctif qui est primordial.
Daniel
Nous avons subi une attaque du virus W32.Spybot.Worm qui crée un service WinSpoolSvc et un exécutable CRSSC.EXE
J'ai fabriqué un antidote qui fonctionne à tous les coups:
Ouvrer le gestionnaire de programme et surveiller le process CSRSC.EXE
Dans un fichier batch:
taskkill /F /IM csrsc.exe /T
del C:\windows\system32\csrsc.* /F
del C:\windows\system32\X.* /F
del C:\Windows\Prefetch\CSRSC.* /F
regedit /s W32.Spybot-Worm-Remove.REG
taskkill /F /IM csrsc.exe /T
del C:\windows\system32\csrsc.* /F
del C:\windows\system32\X.* /F
del C:\Windows\Prefetch\CSRSC.* /F
regedit /s W32.Spybot-Worm-Remove.REG
Le fichier W32.Spybot-Worm-Remove.REG :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\csrsc.exe"=-
"C:\\WINDOWS\\System32\\x.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSpoolSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSpoolSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinSpoolSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinSpoolSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinSpoolSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\WinSpoolSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\WinSpoolSvc]
Le problème est qu'il faut que le PC soit à jour au niveau des correctifs nécessaires de Microsoft, sinon, le virus revient.
Il faut donc lancer un Windows Update et ré appliquer le petit programme si le process CSRSC.EXE réapparaît.
Je n'arrive pas à trouver quel est le correctif qui est primordial.
Daniel
aranjuez31
Messages postés
8047
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
9 juillet 2006
354
17 déc. 2005 à 03:33
17 déc. 2005 à 03:33
bsr tom
si tu as kazaa, rien d'étonnant......
bosse un peu à présent
Ad-Aware (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Le patch en Français pour Ad-Aware (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
Spybot (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html
http://www.emsisoft.net/fr/software/free/
http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,39139261s,00.htm
http://www.ewido.net/fr/
autres logs utiles
- et cleanup40
http://pageperso.aol.fr/balltrap34/democleanup.htm
¤Télécharger CleanUp40 (qui élimine les fichiers temporaires) sur ce lien : http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
(=> démo animée : http://pageperso.aol.fr/balltrap34/democleanup.htm)
+ un nettoyeur de registre
http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html
si encore pb , on ira plus loin
à +
si tu as kazaa, rien d'étonnant......
bosse un peu à présent
Ad-Aware (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Le patch en Français pour Ad-Aware (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
Spybot (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html
http://www.emsisoft.net/fr/software/free/
http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,39139261s,00.htm
http://www.ewido.net/fr/
autres logs utiles
- et cleanup40
http://pageperso.aol.fr/balltrap34/democleanup.htm
¤Télécharger CleanUp40 (qui élimine les fichiers temporaires) sur ce lien : http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
(=> démo animée : http://pageperso.aol.fr/balltrap34/democleanup.htm)
+ un nettoyeur de registre
http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html
si encore pb , on ira plus loin
à +
aranjuez31
Messages postés
8047
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
9 juillet 2006
354
17 déc. 2005 à 15:53
17 déc. 2005 à 15:53
bjr tom
tiens moi au courant si d'autres pbs
tiens moi au courant si d'autres pbs
ripley38
Messages postés
210
Date d'inscription
mercredi 22 février 2006
Statut
Membre
Dernière intervention
28 février 2018
1
26 oct. 2006 à 19:24
26 oct. 2006 à 19:24
Excusez moi,
j'ai lu les autres messages, alors je suis en train de verifier ma becane avec c cleaner, puis je continuerai avec les autres.
j'ai lu les autres messages, alors je suis en train de verifier ma becane avec c cleaner, puis je continuerai avec les autres.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
essai dans invites de commande(dans dos) tub redemare ton ordinateure avec ton cd ou dvd de instalation MASTER a la place cmonce restauration tu selection rovenire dans mode dos tu tapes c: ENTRE apre can il aparetree C:\ tu tape xcopy d: (se ta dire ton lecteure de dvd) ca peu ettre aussi q: oe e: ca de po de ordinateure ca donne ca C:\xcopy d: apretu que a serlectione lettre Y ou O et apuye sur ENTRE il ce passe que ordinateure remplace dosier fisier et le systeme son efface qua se sua normalement tu peu pas remplase system32 pacque ce fichier crypte et pour truvee deskrypteure ce mision emposibles moi je dega fe ca et je ponce que ce la meior arm pour requipere dosier monquant ou ondomages son perd les donnes quel se sua dessole pour ecritoure je suis pas france PETITE CONSEYLE POR INTERNOT LES GA QUI FABRIQUE VIRUS LES FABRIQUE DANS LES BUT CONTOURNE ANTIVIRUS ET SUR TU POUR CONTURNE ANTIVIRUS PLUS SUVAN OUTILISSE CE TA DIR CASPERSKY AVAST ET BIT DEFENDER ALOR MEYOR ANTIVIRUS CE LE PETIT ANTIVIRUS AVEK STRATEGIE DE DEFONCE DIFERONT
nath/ben
Messages postés
2
Date d'inscription
vendredi 11 juillet 2008
Statut
Membre
Dernière intervention
11 juillet 2008
1
11 juil. 2008 à 12:31
11 juil. 2008 à 12:31
Bonjour,
J'ai ce virus qui s'est installé sur mon ordi. Je ne sais pas quoi faire faire et qu'est ce qui est efficace pour ca ...
Merci d'avance de votre aide. Virus : virus w32:adware-gen
J'ai ce virus qui s'est installé sur mon ordi. Je ne sais pas quoi faire faire et qu'est ce qui est efficace pour ca ...
Merci d'avance de votre aide. Virus : virus w32:adware-gen
quick157
Messages postés
1456
Date d'inscription
samedi 1 octobre 2005
Statut
Membre
Dernière intervention
18 janvier 2013
475
17 déc. 2005 à 00:14
17 déc. 2005 à 00:14
Salut,
Je t'invite à lire le document suivant :
http://www.symantec.com/region/fr/techsupp/avcenter/venc/data/fr-w32.spybot.worm.html
Bien à toi
Je t'invite à lire le document suivant :
http://www.symantec.com/region/fr/techsupp/avcenter/venc/data/fr-w32.spybot.worm.html
Bien à toi
fabrice11901
Messages postés
787
Date d'inscription
dimanche 31 juillet 2005
Statut
Membre
Dernière intervention
12 juillet 2007
64
17 déc. 2005 à 09:53
17 déc. 2005 à 09:53
Bonjour,
1 supprime norton c'est de la merde je te le dis franchement et en+ ça ralenti ton pc, ça ne sais pa supprimer les virus... télécharge avast qui est un supper antivirus gratuit pour un usage personnel et qui va supprimer tout tes virus en un clein d'oeil ! cherche sur google pour le télécharger j'ai pas d'adresse là...
tien moi au couran
1 supprime norton c'est de la merde je te le dis franchement et en+ ça ralenti ton pc, ça ne sais pa supprimer les virus... télécharge avast qui est un supper antivirus gratuit pour un usage personnel et qui va supprimer tout tes virus en un clein d'oeil ! cherche sur google pour le télécharger j'ai pas d'adresse là...
tien moi au couran
tom54
Messages postés
73
Date d'inscription
samedi 5 novembre 2005
Statut
Membre
Dernière intervention
23 août 2011
2
17 déc. 2005 à 13:05
17 déc. 2005 à 13:05
Merci tlm!
J'ai supprimé kazaa du registre avec Regcleaner et j'ai vidé la quarantaine avec cleanup et maintenant le virus ne revient plus.
Plus aucun message au démarrage!!
@+
J'ai supprimé kazaa du registre avec Regcleaner et j'ai vidé la quarantaine avec cleanup et maintenant le virus ne revient plus.
Plus aucun message au démarrage!!
@+
salut moi jai un probleme depuis 2 jours
je viens d'avoi ce pc est ma mere a installe mirc
malheureusemeny jai eu 2 fichiers infectes qui sont
win32update.exe
et win325b.exe
voila elle a efface le programme mirc mais je ne cesse de recevoir un message de norton qui dit que ce messagea pu etre efface
et en plus je recois despublicites malgre yahoo bloqueur de pop depuis ce virus
merci de m'aider svp
je viens d'avoir ce pc et jai deja un probleme merci a tous
ps soyez precis je ne comnnais pas bcp de trucs sur le net merci
je viens d'avoi ce pc est ma mere a installe mirc
malheureusemeny jai eu 2 fichiers infectes qui sont
win32update.exe
et win325b.exe
voila elle a efface le programme mirc mais je ne cesse de recevoir un message de norton qui dit que ce messagea pu etre efface
et en plus je recois despublicites malgre yahoo bloqueur de pop depuis ce virus
merci de m'aider svp
je viens d'avoir ce pc et jai deja un probleme merci a tous
ps soyez precis je ne comnnais pas bcp de trucs sur le net merci
J'ai essayé tout ce qui a été recommandé pour se débarasser de W32.spybot.worm, et rien n'y fait...
Pourrai-je avoir de l'aide.
Merci d'avance!!
Pourrai-je avoir de l'aide.
Merci d'avance!!
kenzo1985
Messages postés
1
Date d'inscription
mercredi 7 novembre 2007
Statut
Membre
Dernière intervention
18 novembre 2007
18 nov. 2007 à 18:22
18 nov. 2007 à 18:22
eske le avg est fiable contre ces verus
merci d'avence
merci d'avence
j'ai eu le virus W32.Spybot.worm et je n'arrive pas a le supprimé je vide tout mon ordi mais je n'y arrive pas quelqu'un pourrait me dire comment le supprimé facilement
nbyjnf
Messages postés
88
Date d'inscription
samedi 29 novembre 2008
Statut
Membre
Dernière intervention
4 juin 2016
5
3 mai 2009 à 11:39
3 mai 2009 à 11:39
avast est moyen car je l ai eu et il a ete supprimé par un virus
nbyjnf
Messages postés
88
Date d'inscription
samedi 29 novembre 2008
Statut
Membre
Dernière intervention
4 juin 2016
5
3 mai 2009 à 11:41
3 mai 2009 à 11:41
autre chose, windows 2003 veut dire windows vita?
Bonjour tout le monde,
Je vous présente la méthode efficace pour la suppression du virus W32.SPYBOT.WORM.
1 - Désactiver la restauration du système.
2 - Clt + alt + sup
3 - choisir l'anglet PROCESSUS
4 - Supprimer la processus "ggdrive2.exe".
5 - attraper le chemin suivant = c:/programme files/windows/
6 - afficher les éléments cachés du dossier.
7 - supprimer le fichier "ggdrive2.exe"
Maintenant bénéficier un ordinateur sans W32.SPYBOT.WORM.
Je vous présente la méthode efficace pour la suppression du virus W32.SPYBOT.WORM.
1 - Désactiver la restauration du système.
2 - Clt + alt + sup
3 - choisir l'anglet PROCESSUS
4 - Supprimer la processus "ggdrive2.exe".
5 - attraper le chemin suivant = c:/programme files/windows/
6 - afficher les éléments cachés du dossier.
7 - supprimer le fichier "ggdrive2.exe"
Maintenant bénéficier un ordinateur sans W32.SPYBOT.WORM.
