Sujet Précédent Sujet Suivant

[Virus] Win32.Perlovga.A (Copy.exe, Autorun)

Fermé
Stahn - 22 nov. 2006 à 18:19
 AQueLaVérité - 19 sept. 2013 à 16:23
Salut tout le monde,
Mon PC est infecté par le virus "Win32Perlovga.A"
J'utilse BitDefender 8 Pro comme antivirus
Lors des analyses il a détecté le fichier Copy.exe sur presque toute les partitions
Or il se regénère à chaque fois que je veux accèder à un disque
Il y a aussi les fichiers "autorun.inf" qui se créent sur la racine
de toute les partitions aussi
A noter aussi la présence de deux processus "temp1" et "temp2" chargés
Comment je peux me débarasser de ce virus S'il Vous Plait.
A voir également:

34 réponses

Précédent
  • 1
  • 2
Réponse 21 / 34
lio
3 juin 2007 à 22:58
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:55:52, on 03/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\No-IP\DUC20.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Documents and Settings\tango\Mes documents\Downloads\Programs\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: No-IP DUC.lnk = C:\Program Files\No-IP\DUC20.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
0
Réponse 22 / 34
lilo
14 juin 2007 à 12:53
Bonjou,

j'ai l'anti-virus Kaperski, et ca ne m'a pas empêché d'avoir deux virus :
win32perlovga et le cheval de troie
a+ et merci pour votre réponse
lilo
0
Réponse 23 / 34
simo
7 juil. 2007 à 14:14
ouvre la fenetre dos et cmd les code suivants et redemare ton pc a+ 

@echo off
cd\
taskkill /f /im temp1.exe
taskkill /f /im temp2.exe

del /a/f/q %systemroot%\system32\temp?.exe %systemroot%\svchost.exe %systemroot%\xcopy.exe %systemroot%\autorun.inf >nul 2>&1

del /a/f/q c:\autorun.inf c:\copy.exe c:\host.exe >nul 2>&1

del /a/f/q d:\autorun.inf d:\copy.exe d:\host.exe >nul 2>&1

del /a/f/q e:\autorun.inf e:\copy.exe e:\host.exe >nul 2>&1

del /a/f/q f:\autorun.inf f:\copy.exe f:\host.exe >nul 2>&1

del /a/f/q g:\autorun.inf g:\copy.exe g:\host.exe >nul 2>&1

del /a/f/q h:\autorun.inf h:\copy.exe h:\host.exe >nul 2>&1

del /a/f/q i:\autorun.inf i:\copy.exe i:\host.exe >nul 2>&1

del /a/f/q j:\autorun.inf j:\copy.exe j:\host.exe >nul 2>&1

del /a/f/q k:\autorun.inf k:\copy.exe k:\host.exe >nul 2>&1

del /a/f/q l:\autorun.inf l:\copy.exe l:\host.exe >nul 2>&1

del /a/f/q m:\autorun.inf m:\copy.exe m:\host.exe >nul 2>&1

del /a/f/q n:\autorun.inf n:\copy.exe n:\host.exe >nul 2>&1

EXIT
0
Réponse 24 / 34
missyapo77
10 oct. 2007 à 20:58
Bonjour,
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:57:28, on 10/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jucheck.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AOL 9.0\aoltray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PCDrProfiler] "C:\Program Files\PC-Doctor 5 for Windows\RunProfiler.exe" -r
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] c:\Program Files\Norton Internet Security\cfgwiz.exe /GUID {F073BDC9-0D67-4ff0-879E-27241C843828} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] "c:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [regcmdcons] c:\windows\regedit.exe /s c:\hp\bin\cmdcons2.reg
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Norton Internet Security\comHost.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 34
joshua
15 oct. 2007 à 10:43
Bonjour,
utilise fixperl pour fixer ces prob.

http://blog.abuse.ma/fixerl.exe
0
Réponse 26 / 34
amine9448 Messages postés 2 Date d'inscription mercredi 3 octobre 2007 Statut Membre Dernière intervention 24 octobre 2007
24 oct. 2007 à 16:32
salut
comme tu la indiké zaki
il fo cherché le fichier autorun pui le suprimé le problem c ke g trouvé plusieur fichier autorun sur mn disk C
kelk1 je les reconai dial mes aplication cependant je doute ke sa soi d fichier AUTORUN.exe-055703AF.pf
mé avan de suprimé je voulai avoir vos avis Merci
0
Réponse 27 / 34
aurelman
13 nov. 2007 à 14:54
Bien le bonjour à tous

j'ai le même problème avec le trajan, win. 32, perlovga...etc; Mon problème étant que je ne peux même plus accéder à mon poste de travail. Ca à correspondu avec le moment ou j'ai installé kaspersky... Y'aurai-t-il un moyen de régler ça?...
0
Réponse 28 / 34
zaki the king
14 nov. 2007 à 14:50
salut aurelman,
essay de supprimer autorun.inf sous dos !!
demarrer---tous les pgm---accessoires----invite de commandes :
et taper :
cd\ ----- dir/ah ---- del autorun.inf (sinon autorun.ini)
redemarre et rend moi la rep

@+
0
Réponse 29 / 34
Pix
18 nov. 2007 à 14:46
Bonjour,
Mon ordi ne veut meme plus demarrer (Portable VAIO)
Le virus copy.exe recupéré par une clef usb, a fait redemarrer l'ordi et maintenant le mess suivant s'affiche:
"NTLDR Manque
Entrz CTRL+ALT+SUPP pour redemarrer"
Et le cycle se repete a chaque demarrage...
???
Merci
0
Réponse 30 / 34
malin
17 févr. 2008 à 22:20
Bonjour scott, j'ai le meme problème de virus win32.perglovga, franchement il fé chier. Si je supprime ma session et recréer une autre, vais-je accéder encore à mes dossier et fichier sauvés sous la session supprimée? ou je perds tout!!

Merci
0
Réponse 31 / 34
chub
18 mars 2008 à 13:36
bonjour tout le monde.

voila j'ai temp2.exe qui apparait a chaque fois que j'allume mon ordi, et d'apres ce que j'ai pu en lire, il est keylogger.

donc il est recommandé de ne faire aucune transaction par cb sur le net, hors, je sais pas exactement depuis combien de temps j'ai ce trojan, mais je voudrai savoir si je peux controler qu'il ne me sera pas nocif avec des utilisations frauduleuse de mes données banquaires, car recement j'ai acheté un pc complet que j'ai justement reglé par carte banquaire en ligne.

donc il y aurai-t-il un moyen de pouvoir recuperer ou sont stockés ces infos et si je peux remonter a l'endroit ou elles sont envoyés.
si je peux controler simplement sur le net mes relevé banquaires etc..

merci
0
Réponse 32 / 34
Y-seen
1 avril 2008 à 16:46
voila le 1er rapport

--------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 16:43:35 01/04/2008

+ Résultat de l'analyse:



C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP34\A0001985.exe -> Backdoor.Small.lo : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP34\A0002007.exe -> Backdoor.Small.lo : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP35\A0002038.exe -> Backdoor.Small.lo : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP35\A0003038.exe -> Backdoor.Small.lo : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP35\A0004038.exe -> Backdoor.Small.lo : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP36\A0004057.exe -> Backdoor.Small.lo : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP36\A0004058.exe -> Dropper.Small.apl : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP36\A0004059.exe -> Dropper.Small.apl : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP36\A0004061.exe -> Dropper.Small.apl : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP36\A0004063.exe -> Dropper.Small.apl : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@adtech[1].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@ehg-ittoolbox.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Nettoyé.
C:\Documents and Settings\Ya$$ine\Cookies\ya$$ine@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP34\A0001984.exe -> Trojan.Copier : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP34\A0002006.exe -> Trojan.Copier : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP35\A0003037.exe -> Trojan.Copier : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP35\A0004037.exe -> Trojan.Copier : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP36\A0004056.exe -> Trojan.Copier : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP36\A0004060.exe -> Trojan.Copyself : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP36\A0004062.exe -> Trojan.Copyself : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP36\A0004064.exe -> Trojan.Copyself : Nettoyé.
C:\System Volume Information\_restore{B0446FCF-9D59-46A9-ABCF-C14C474114C1}\RP36\A0004065.exe -> Trojan.Copyself : Nettoyé.


Fin du rapport

et voila le rapport de HijackThis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:45:41, on 01/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mediafour\MacDrive 7\MacDriveService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mediafour\MacDrive 7\MacDrive.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [{B179023B-6238-4499-8F26-CD73E9D90E0A}] "C:\Program Files\Mediafour\MacDrive 7\MacDrive.exe"
O4 - HKLM\..\Run: [MDGetStarted.exe] "C:\Program Files\Mediafour\MacDrive 7\MDGetStarted.exe" /auto
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Avid SDM Service (AvidSDMService) - Unknown owner - C:\WINDOWS\system32\AvidSDMService.exe (file missing)
O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MacDriveService - Mediafour Corporation - C:\Program Files\Mediafour\MacDrive 7\MacDriveService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 33 / 34
mohamed zaki
12 janv. 2007 à 00:01
c'est simple
il vous suffit de suprimer autorun celui de copy.exe
apres avoire afficher les dossier cacher
et refait cet operation pour chaque partition de votre ordi memme pour le flash,mp3,....
-1
Réponse 34 / 34
zaki the king
2 mars 2007 à 20:08
ok aa aliouat
les partition de disque sont les lecteurs de disque c,d..flash mp3
clic bouton droit -->ouvrire -->et supprimmer apres avoir afficher les dossiers caches et les dossiers proteges par le systeme d'exploitation et n'oublie pas de redemarrer
et repond moi
w dima hot fi belek **sel lemjareb w matselech tbib**
-1
aliouate
2 mars 2007 à 21:42
AAAAAAAAAA ZAKIIIIII..
Pour moi tu es et " lemjerreb" et " tbib "...
Peut etre que je ne me fais pas bien comprendre...
Ecoute moi bien ..Dis moi exactement et en details comment je dois proceder pour aller vers les partitions de disque...en partant du bureau,par quoi dois je commencer a sahbi ....Je suis nul en informatique,et c'est pourquoi je ne comprends pas ce que tu me dis de faire meme si ca te parait simple pour toi...Alors prends patience et donne moi un peu de ton temps car je suis vraiment emmerdé la...
Maintenent pour ouvrir chaque disque ,je dois cliquer avec le bouton doit de la sourie et selectionner ouvrir au lieu de double cliquer directement sur l'icone du disque...Et quand je le fais j'ai un message d'alerte qui m'annonce que mon disque est virussé....
Est ce que la tu me comprends ..je pense que et tu as aussi bien saisis ma demande d'aide precise...
J'ATTENDS TES LUMIERES ...si tu le veux bien et MEEEEEEEEEERCI
Et n'oubli pas, explique moi comment faire a partir du bureau etape par etape....
0
zaki the king
3 mars 2007 à 12:31
apres avoir installer kaspersky il faut faire un scan complet de l'ordinateur , redemare et faire ceci :aller sur poste de travail, ouvrer le c , en haut cliquer sur outils options des dossiers ,affichage et choisisser afficher les dossiers cache ,
puis decocher la case masquer les fichers proteges par le systeme d'exploitation puis clic sur ok
et supprime le fichier autorun dans le c,d,e,mp3,mp4 ...
et redemare
repond moi !!!
ciao
0
ALIOUATE > zaki the king
3 mars 2007 à 16:27
ZAKIIIIIIIIIIII? You are a real KING...
Ouuuuuuuuuuf, enfin ca s'est arangé et tout est rentré dans l'ordre..
Reste a savoir si maintenant il faut recocher la case des fichiers cachés ou la laisser decochée ..!!!!!
En tous les cas merci bp Zaki..Tu m'as sauvé la vie...hahaha...
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses