Infecté par Win32.Nuclear.r

Résolu/Fermé

philoxe Messages postés 29 Date d'inscription dimanche 19 mars 2006 Statut Membre Dernière intervention 20 février 2009 - 2 août 2006 à 19:02
^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 - 7 août 2006 à 20:52

Bonjour,

j'ai ete contamine par Win32.Nuclear.r... Avast me dit qu'il l'a mis en quarantaire. Le ficher infecte est msvb32.dll. Il se situait avant la 40aine dans c: windows/NR... qui evidemment est un dossier impossible à retirer manuellement !

(Dans le dossier c:windows/nr, j'ai un fichier serv.exe.)

J'ai deux questions : La quarantaine suffit elle à regler les problemes.
Y a t'il un moyen manuel pour l'enlever. Il a l'air recent et je n'ai rien trouve sur internet.

Merci à vous.
JeanPhi

A voir également:

5 réponses

Réponse 1 / 5

incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
3 août 2006 à 18:33

Bonsoir,

essaie en mode sans echec,

Pour cela, tu tapotes la touche F8 dès le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)

Bon courage.

A+

philoxe Messages postés 29 Date d'inscription dimanche 19 mars 2006 Statut Membre Dernière intervention 20 février 2009
6 août 2006 à 22:22

Voila le resultat de highjackthis.

Je ne vois pas ou ca cloche, mais comme je le disais avant, le troyen est en quarantaine, donc hjthis ne le voit peu etre pas.
Merci d'avance.

Logfile of HijackThis v1.99.1
Scan saved at 22:10:52, on 06/08/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\JeanPhi.HOMER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://mail.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {3ABF8F3D-42ED-44F4-8ACB-F8B62D0339B5} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PPMemCheck] c:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] c:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_s...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

philoxe Messages postés 29 Date d'inscription dimanche 19 mars 2006 Statut Membre Dernière intervention 20 février 2009
6 août 2006 à 22:33

AUtre truc que m'affiche avast en zone de quarantaine. merci

msvb32.dll c:windows\NR

et A0236256 c:systemvolume information\restore {8DC13586-6092-4D84-9870-03B759E98CD0}RP302

Bizarre ???

Réponse 2 / 5

^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274
7 août 2006 à 09:23

Salut,

A0236256 c:systemvolume information\restore {8DC13586-6092-4D84-9870-03B759E98CD0}RP302

Il semblerait que L'infection se situe dans le système de restauration XP (System Volume Information\_restore)

¤Désactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique.

Puis,

¤Réactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et applique.

D'autre part : Platform: Windows XP (WinNT 5.01.2600) ==>METTRE A JOUR...
A++

philoxe Messages postés 29 Date d'inscription dimanche 19 mars 2006 Statut Membre Dernière intervention 20 février 2009
7 août 2006 à 11:36

Bonjour,

merci pour la reponse, je vais voir si ca marche et attendre qu'un editeur antivirus publie un truc pour enlever ce troyen. Une vraie plaie ses troyens.
Par contre pour la mise à jour, ou dois je aller ??? microsoft.com ?

Merci

Jphi

Réponse 3 / 5

^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274
7 août 2006 à 15:25

Slt

je vais voir si ca marche et attendre qu'un editeur antivirus publie un truc pour enlever ce troyen ===> pas capté, là...tu attends quoi ???

Par contre pour la mise à jour, ou dois je aller

Voir GOUGOULE ............lol

http://www.aidewindows.net/windowsxp.php#correctifs

A++

Réponse 4 / 5

philoxe Messages postés 29 Date d'inscription dimanche 19 mars 2006 Statut Membre Dernière intervention 20 février 2009
7 août 2006 à 15:46

Oublie ce que j'ai dit.
Ok pour windows, mis à jour cet apres midi...

Merci encore Marie

Phil

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 5

^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274
7 août 2006 à 20:52

Tiens nous au courant

A++

Discussions similaires

Detection PUA: win32 Installcore

infecté par HackTool:Win32/AutoKMS

Problème avec "PUADIManager:Win32/OfferCore

Que fait le virus LPI Win32 Pup-Gen

win32 bogent [susp]

Discussions similaires

Newsletters