Sujet Précédent Sujet Suivant

Virus stub.shark et formatage

lilo -  
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à tous

Voici mon problème :

J'ai téléchargé un fichier compressé d'un site que nous qualifierons de "olé olé" et le fichier s'avère être en fait un virus, c'était un fichier .scr, grand profane que je suis je double clic sans me méfier une seconde, le fichier disparaît et là plus rien, rien de spécial ne se passe, c'est un ami à moi qui me dit que ça risque fortement d'être un ver, son nom stub.shark. Qu'en pensez vous?

De plus voici un moment que je veux formater mon pc, il est trop encombré, et devneu très lent, j'ai sauvegardé tout ce qui m'intéressait, le problème c'est que mon lecteur DVD ne veut plus s'ouvrir, la petite diode ne cesse de clignoter, pouvez m'aider la dessus même si je ne suis pas dans la bonne section du forum, dsl

Merci d'avance à tous!
A voir également:

10 réponses

Réponse 1 / 10
lilo
 
Up
0
Réponse 2 / 10
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut, 

The filename STUB.SHARK.EXE is sometimes associated with unsafe malware objects and some with this name have yet to be classified.


Télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre-le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
Clique sur "do a system scan and save logfile" (cf démo)
Faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+
0
Réponse 3 / 10
lilo
 
Merci pour ta réactivité, voici le rapport:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Eraser\bak\eraser.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Administrateur\Mes documents\antivirus\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\bak\eraser.exe -hide
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\scvhost
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://www.negocia.fr/qp2.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
0
Réponse 4 / 10
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
RE

Vas sur le site https://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier :
C:\WINDOWS\system32\scvhost
- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici.
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
lilo
 
Salut de retour seulement aujourd'hui chez moi et ce virus toujours présent détecter par antivir

voici le rapport comme tu me l'as conseillé:

A-Squared Found Trojan-Dropper.Win32.Agent.buu
AntiVir Found TR/Drop.Agent.buu
ArcaVir Found Trojan.Dropper.Agent.Bow
Avast Found Win32:VB-FED
AVG Antivirus Found Dropper.Agent.FEU
BitDefender Found nothing
ClamAV Found Trojan.Dropper-2555
CPsecure Found Troj.Dropper.W32.Agent.bow
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Trojan-Dropper.Win32.Agent.buu
Fortinet Found W32/Agent.BUU!tr
Kaspersky Anti-Virus Found Trojan-Dropper.Win32.Agent.buu
NOD32 Found nothing
Norman Virus Control Found W32/Agent.CHJB
Panda Antivirus Found Trj/Shark.AO
Rising Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found Trojan-Dropper.Win32.Agent.buu

Comment le virer maintenant, antivir ne veut pas le supprimer.

Merci
0
Réponse 6 / 10
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
re

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
0
Réponse 7 / 10
lilo
 
Voici le rapport, j'espère que ça te parle moi je suis légèrement pommé:

((((((((((((((((((((((((((((( Fichiers créés 2007-08-20 to 2007-09-20 ))))))))))))))))))))))))))))))))))))
.

2007-09-20 23:16 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-18 02:54 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\GrabIt
2007-09-17 21:05 <REP> d-------- C:\Program Files\Everest Poker
2007-09-14 06:47 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Visicom Media
2007-09-14 06:46 <REP> d-------- C:\Program Files\vmntoolbar
2007-09-14 06:46 <REP> d-------- C:\Program Files\VMN
2007-09-14 06:46 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\vmntoolbar
2007-09-07 15:02 <REP> d-------- C:\Program Files\Fichiers communs\Symantec Shared
2007-08-23 03:05 <REP> d-------- C:\Program Files\Norton Security Scan

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-18 02:49 --------- d-------- C:\Program Files\GrabIt
2007-09-18 02:42 --------- d-------- C:\Program Files\eMule
2007-08-18 21:51 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-07-27 19:55 --------- d-------- C:\Program Files\MediaCoder
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-12-09 19:12]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-03-19 18:55]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09]
"Eraser"="C:\Program Files\Eraser\bak\eraser.exe" [2003-07-25 11:15]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-03 01:33]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"SSS6_Suite"="C:\Program Files\Steganos Security Suite 6\sss.exe" /booting
"SSS6_SAFE"="C:\Program Files\Steganos Security Suite 6\safe.exe" /booting
"SSS6_SPM"="C:\Program Files\Steganos Security Suite 6\spm.exe" /booting

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04]

R3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ee343545-139a-11dc-842a-0007cb0000ff}]
AutoRun\command- E:\ie.exe
explore\Command- E:\ie.exe
open\Command- E:\ie.exe

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ABF6FCC4-B500-F359-F72A-AC5084B1A3BB}]
C:\WINDOWS\system32\scvhost
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-09-20 19:46:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2007-09-14 13:08:43 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Program Files\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-20 23:21:01
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

C:\WINDOWS\system32\cmd.exe [2880] 0xFFBD9510

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-20 23:21:50
.
--- E O F ---

Merci pour ton suivi et ta réactivité!!!!!
0
Réponse 8 / 10
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Re,

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.

¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\scvhost

Ferme Hijackthis

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\scvhost

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
0
Réponse 9 / 10
lilo
 
Salut!

De retour de week end, j'ai suivi tes directives.

Voici le premier post:

File move failed. C:\WINDOWS\system32\scvhost scheduled to be moved on reboot.

Created on 09-23-2007 22:42:58

A l'instant où j'ai cliqué sur "moveit" un pop up antivir à affiché le dit virus, j'ai sélectionné "delete", puis j'ai relancer "moveit" qui donne ce rapport:

File/Folder C:\WINDOWS\system32\scvhost not found.

Created on 09-23-2007 22:43:28

Le virus a en principe disparu, non?
0
Réponse 10 / 10
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut

redemarre ton pc et copie colle un nouveau hijackthis

a+
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
code de réinitialisation de samsung GT-E1205T
SB -
Delarue -

35 réponses
Code de réinitialisation Samsung
baissaoui -
baissaoui -

0 réponse
Code formatage du telephone samsung
IMOH19 -
flash -

10 réponses