Sujet Précédent Sujet Suivant

Nouveau virus ivchost

Fermé
new_wifi Messages postés 30 Date d'inscription mercredi 20 décembre 2006 Statut Membre Dernière intervention 22 septembre 2007 - 8 juil. 2007 à 16:51
new_wifi Messages postés 30 Date d'inscription mercredi 20 décembre 2006 Statut Membre Dernière intervention 22 septembre 2007 - 8 juil. 2007 à 17:13
Bonjour a tous ,
cela fais deux semaines que je suis infecté par un trojan , ou spyware , ou peut etre un virus qui se nomme ivchost.exe.
en lancant tcp view , j'ai remarque qu'il scannait mon reseau local pour infecté d'autres pc , je l'ai supprimé avec kapersky et depuis c'est au tour de rundll 32 de charger des dll en memoire qui utiliseront explorer .exe pour se connecter en background a une ip ( j'ai oublie de noter cette ip),je me suis rendu compte qu'a chaque fois ke je supprimait un dll du trojan , un autre se genere automatiquement , je voudrais donc savoir comment faire pur eradiquer tout ces dll.
j'ai ici mon log hijackthis , qui pourait vous aider:

Logfile of HijackThis v1.99.1
Scan saved at 15:07:01, on 08/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Documents and Settings\Administrateur\Bureau\Tcpview.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\explorer.exe
D:\soft\cd_cours\NETWORK\soft\RootkitRevealer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\EERYOT.exe
C:\WINDOWS\System32\rundll32.exe
C:\Documents and Settings\Administrateur\Bureau\procexp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\soft\a graver\SECUTITY\Hijackthis-1-99-1-et-totoriel\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.com/?gws_rd=ssl
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: EERYOT - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\EERYOT.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

en attente de vos reponses
merci

2 réponses

Réponse 1 / 2
super guinoo
8 juil. 2007 à 17:07
salut c'est pas facile...

fais gaffe à ce que tu fais. parce que svchost.exe n'est pas un virus.il est dans ton cd windows xp.


as tu le pack sp2 a jour?
sinon voila ce qu'il t'aidera :
pour une meilleure protection de ton système il faudrait installer le SP2
voir ici SP2
-------------
si tu ne peux télécharger OTmoveIt, tu fais tout de même tout le reste, et je te conseille de
Télécharger :
AVG Antispyware 7.5

= Installer
= Clic : Mise à jour
-----------------------
= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
------------------------
= Dans ANALYSE
==> Paramètres ==> sous COMMENT REAGIR==>Actions recommandées ==>Quarantaine
==> Clic : Analyse complète du système
En fin de scan ( qui est assez long)
==> Clic Appliquer toutes les actions
==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
------------------------
En mode normal

Télécharger sur le bureau

OTMoveIt.exe

---------------

relancer hijack

cocher ces lignes et clic ensuite sur FIX CHECKED

O4 - HKLM\..\Run: [Windows Service Agent] fixin.exe
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\System32\cvhvuxbn.dll",realset
O4 - HKLM\..\RunServices: [Windows Service Agent] fixin.exe
O4 - HKCU\..\Run: [Windows Service Agent] fixin.exe
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe
O23 - Service: msnntlp - Unknown owner - C:\WINDOWS\system\msnntlp.exe

-------------
Faire
Démarrer==> Exécuter ==> Ecrire: services.msc
Dans le tableau qui s’ouvre chercher : ms hexidecimal defx
Double-clic dessus==> dans type de démarrage ==>Désactivé ==> en dessous
Arrêter <== si accessible et Clic ==> OK

pareil avec msnntlp
------
Dans hijack
= Open the misc tools section
= Delete a NT service
= coller dans la case ce texte en gras : [b]ms hexidecimal defx [/b]
=Clic ouvrir
au message : « voulez.vous redémarrer « clic : NON et recommencer et ajouter
msnntlp
Puis cliquer OUI)
= ok
Si message erreur , pas de problème
= redémarrer
-------------


= Copier ce texte en gras

C:\WINDOWS\System32\cvhvuxbn.dll
C:\WINDOWS\system32\dllcache\ivchost.exe
C:\WINDOWS\system\msnntlp.exe


= Double-clic sur OTMoveIt.exe
= Dans le cadre de Gauche ==> clic-droit ==> coller
= Clic MoveIt!
= si redémarrage demandé==> Clic : YES
= Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à copier/coller dans la réponse
--------

voila en ce qui concerne ta requete : j'espere que j'ai été assez rapide et concis


le super Guinoo dit : sois patient, tu as le temps.
0
Réponse 2 / 2
new_wifi Messages postés 30 Date d'inscription mercredi 20 décembre 2006 Statut Membre Dernière intervention 22 septembre 2007 7
8 juil. 2007 à 17:13
ok merci pour l'infos, je vais faire ce que tu a dis
mais j'ai dis ivchost je n'ai pas dit svchost(queje connias bien)
@+
0

Discussions similaires

Nouveau coco tchat ?
LoupiotteDesTenebres -
brucine -

9 réponses
[SUJET GROUPÉ] Le site COCO.GG est définitivement fermé.
Utilisateur anonyme -
Panth33ra -

20 réponses
C'est quoi le site qui remplace coco chat
TP3 -
bazfile -

2 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Coco chat connexion sur mobile, le tchat est fermé ?
Pisceneo -
brucine -

24 réponses