A voir également:
- COMMENT RECUPERER REGEDIT?
- Regedit windows 10 - Guide
- Comment recuperer un message supprimé sur whatsapp - Guide
- Comment recuperer une video sur youtube - Guide
- Comment récupérer un compte facebook piraté - Guide
- Récupérer mon compte facebook désactivé - Guide
7 réponses
C'est sans doute le virus w32.spybot, un keylogger. C'est-à-dire qu'il enregistre tout ce qu'on tape au clavier. Ce qui veut dire qu'il faudra changer tous les mots de passe, une fois que le virus sera éradiqué.
http://forum.pcastuces.com/sujet.asp?SUJET_ID=23130
http://forum.pcastuces.com/sujet.asp?SUJET_ID=22904
http://assiste.free.fr/p/internet_attaquants/w32.spybot.php
Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm
http://forum.pcastuces.com/sujet.asp?SUJET_ID=23130
http://forum.pcastuces.com/sujet.asp?SUJET_ID=22904
http://assiste.free.fr/p/internet_attaquants/w32.spybot.php
Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm
lafkus
Messages postés
10
Statut
Membre
merci, j'essaye ce que tu me propose
lafkus
Messages postés
10
Statut
Membre
j'ai un peu suivi les liens q tu me proposai, jai trouver bcp d'anglai ,1pt faible pour moi,parcontre sur un autre forum avec le lien que tu ma filer tu donne une astuce pour duper le virus et c la que sa devien interessent ,j'aurai voulu un peu plus de detail une fois qe l'on peu acceder a regedit , savoir ou ce trouve se satanner virus pour pouvoir l'effacer, merci pour l'aide c carrer!!
Si tu connais le nom du virus, tu peux le tuer en respectant scrupuleusement ce qui suit :
1) Faire CTRL+ALT+DEL -> onglet processus -> cliquer sur la ligne du programme et ensuite sur "terminer le processus"
2) Aller dans le répertoire où se trouve le virus, s'assurer que les cases "afficher les fichiers cachés" soit cochée dans les options car il a probablement les attributs cachés. Une fois qu'on l'a localisé, le supprimer sans passer par la Corbeille, c'est-à-dire en appuyant sur la touche MAJ au moment de la suppression.
3) Ensuite faire "Démarrer" -> "Exécuter" -> MSconfig (entrée) -> onglet "démarrage"
Décocher le nom du programme parasite.
Il faut impérativement faire la procédure ci-dessus dans l'ordre car sinon, on n'arrive pas à effacer le programme s'il est toujours en mémoire et décocher l'entrée de MSConfig sans l'avoir arrêté ne sert sans doute à rien car le virus contrôle sûrement s'il est toujours présent à cet endroit.
Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm
1) Faire CTRL+ALT+DEL -> onglet processus -> cliquer sur la ligne du programme et ensuite sur "terminer le processus"
2) Aller dans le répertoire où se trouve le virus, s'assurer que les cases "afficher les fichiers cachés" soit cochée dans les options car il a probablement les attributs cachés. Une fois qu'on l'a localisé, le supprimer sans passer par la Corbeille, c'est-à-dire en appuyant sur la touche MAJ au moment de la suppression.
3) Ensuite faire "Démarrer" -> "Exécuter" -> MSconfig (entrée) -> onglet "démarrage"
Décocher le nom du programme parasite.
Il faut impérativement faire la procédure ci-dessus dans l'ordre car sinon, on n'arrive pas à effacer le programme s'il est toujours en mémoire et décocher l'entrée de MSConfig sans l'avoir arrêté ne sert sans doute à rien car le virus contrôle sûrement s'il est toujours présent à cet endroit.
Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm
Les virus ont souvent plusieurs noms, celui donné par l'auteur du virus mais aussi par les firmes d'antivirus.
Je parle en fait du programme en RAM, pas du nom "commercial" du virus. Exemple, scvhost.exe au lieu svchost.exe
Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm
Je parle en fait du programme en RAM, pas du nom "commercial" du virus. Exemple, scvhost.exe au lieu svchost.exe
Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm
tu peux lire mon sujet :
http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269
copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.
Ce programme permet de voir tout ce qui tourne en RAM.
Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm
http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269
copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.
Ce programme permet de voir tout ce qui tourne en RAM.
Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm
entretps j'ai utiliser activscan et il a detecter le nom du virus!! le vla c Analyse
W32/Gaobot.AL.worm No Désinfecté C:\WINDOWS\system32\winhlpp32.exe
apres cette ananlyse je suis aller ds le repertoire indiquer ci dessus et j effacer le fichier winhlpp32.exe en passan par la corbeil et vider celle-ci, est je bien fait ou pas? ce q'il me faut maintnt c d'aller l'effacer sur regedit mais je ne connai pas le chemin pour le trouver , mais dis moi aussi c quoi le W32/Gaobot.AL.worm (je pense bien q c le virus??
W32/Gaobot.AL.worm No Désinfecté C:\WINDOWS\system32\winhlpp32.exe
apres cette ananlyse je suis aller ds le repertoire indiquer ci dessus et j effacer le fichier winhlpp32.exe en passan par la corbeil et vider celle-ci, est je bien fait ou pas? ce q'il me faut maintnt c d'aller l'effacer sur regedit mais je ne connai pas le chemin pour le trouver , mais dis moi aussi c quoi le W32/Gaobot.AL.worm (je pense bien q c le virus??
je t'envoie toLogfile of HijackThis v1.97.6
Scan saved at 00:45:06, on 18/11/2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\WISPTIS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Transmeta\Crusoe Persistent Translation Service\pttsvc.exe
C:\Program Files\Compaq\Compaq Q Menu\QUtilSrv.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\tabbtnu.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\microsoft shared\ink\TabTip.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Compaq\Mode Change Service\CpqMcSrV.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Compaq\Compaq Q Menu\QIcon.exe
C:\WINDOWS\MSMGT.exe
C:\Program Files\Fichiers communs\microsoft shared\ink\TPA.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis[1].zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;wma.*;www.intranet.*;appli.*;10.*;;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: CleverHook Class - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll
O2 - BHO: (no name) - {F6DA5F71-99C8-4D60-B718-8837C49F834B} - C:\WINDOWS\System32\awpphelp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TabletTip] "C:\Program Files\Fichiers communs\microsoft shared\ink\tabtip.exe" /resume
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] rundll32 nview.dll,nViewLoadHook
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [Mode Change Service] "C:\Program Files\Compaq\Mode Change Service\CpqMcSrV.exe" /Start
O4 - HKLM\..\Run: [pttrun] "C:\Program Files\Transmeta\Crusoe Persistent Translation Service\pttrun.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Compaq Q Menu] C:\Program Files\Compaq\Compaq Q Menu\QIcon.exe -QICON
O4 - HKLM\..\Run: [MSMGT] C:\WINDOWS\MSMGT.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8/fr/AccesMembre.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CDD85D2-4A99-4BEF-9A40-AF60C197B03B}: NameServer = 10.50.100.3
Scan saved at 00:45:06, on 18/11/2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\WISPTIS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Transmeta\Crusoe Persistent Translation Service\pttsvc.exe
C:\Program Files\Compaq\Compaq Q Menu\QUtilSrv.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\tabbtnu.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\microsoft shared\ink\TabTip.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Compaq\Mode Change Service\CpqMcSrV.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Compaq\Compaq Q Menu\QIcon.exe
C:\WINDOWS\MSMGT.exe
C:\Program Files\Fichiers communs\microsoft shared\ink\TPA.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis[1].zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;wma.*;www.intranet.*;appli.*;10.*;;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: CleverHook Class - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll
O2 - BHO: (no name) - {F6DA5F71-99C8-4D60-B718-8837C49F834B} - C:\WINDOWS\System32\awpphelp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TabletTip] "C:\Program Files\Fichiers communs\microsoft shared\ink\tabtip.exe" /resume
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] rundll32 nview.dll,nViewLoadHook
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [Mode Change Service] "C:\Program Files\Compaq\Mode Change Service\CpqMcSrV.exe" /Start
O4 - HKLM\..\Run: [pttrun] "C:\Program Files\Transmeta\Crusoe Persistent Translation Service\pttrun.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Compaq Q Menu] C:\Program Files\Compaq\Compaq Q Menu\QIcon.exe -QICON
O4 - HKLM\..\Run: [MSMGT] C:\WINDOWS\MSMGT.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8/fr/AccesMembre.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CDD85D2-4A99-4BEF-9A40-AF60C197B03B}: NameServer = 10.50.100.3
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ceci est un programme pas vraiment nécessaire, on peut le considérer comme un spyware.
O4 - HKLM\..\Run: [MSMGT] C:\WINDOWS\MSMGT.exe
Ceci est un spyware avéré
R3 - URLSearchHook: CleverHook Class - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll
O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll
Fais tourner Spybot and Destroy pour liquider ces spyware, je ne vois plus de virus, par contre.
Si tu as un doute sur une dll apparaissant dans Hijack, tu peux consulter le site suivant :
http://home01.wxs.nl/~kleyn080/BHO_list.html
Ce sont les mêmes personnes qui ont écrit HijackThis. Il te suffit de chercher sur cette page (via CTRL+F) le nom de la dll. Exemple, jeired.dll s'y trouve.
Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm
O4 - HKLM\..\Run: [MSMGT] C:\WINDOWS\MSMGT.exe
Ceci est un spyware avéré
R3 - URLSearchHook: CleverHook Class - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll
O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll
Fais tourner Spybot and Destroy pour liquider ces spyware, je ne vois plus de virus, par contre.
Si tu as un doute sur une dll apparaissant dans Hijack, tu peux consulter le site suivant :
http://home01.wxs.nl/~kleyn080/BHO_list.html
Ce sont les mêmes personnes qui ont écrit HijackThis. Il te suffit de chercher sur cette page (via CTRL+F) le nom de la dll. Exemple, jeired.dll s'y trouve.
Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm
