Virus adware.binet et adware.ncase

jopp -  
 jopp -
j'ai f

30 réponses

  • 1
  • 2
  1. jopp
     
    pardon pour le premier envoi.

    j'ai fait un scan avec RAV Antivirus et ai trouvé les points suivants :

    Scan started at 19/04/2004 18:39:17

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\Jocelyne\Local Settings\Temp\Belt.cab->Belt.exe - TrojanDownloader:Win32/Stubby.A -> Infected
    C:\Documents and Settings\Jocelyne\Local Settings\Temp\Belt.exe - TrojanDownloader:Win32/Stubby.A -> Infected
    C:\Documents and Settings\Jocelyne\Local Settings\Temp\bi.cab->biprep.exe - TrojanSpy/Win32.BiSpy.A -> Infected
    C:\Documents and Settings\Jocelyne\Local Settings\Temp\biprep.exe - TrojanSpy/Win32.BiSpy.A -> Infected
    C:\RECYCLER\S-1-5-21-448539723-2049760794-682003330-1004\Dc12.exe - TrojanDownloader:Win32/Stubby.A -> Infected
    C:\RECYCLER\S-1-5-21-448539723-2049760794-682003330-1004\Dc13.exe - TrojanSpy/Win32.BiSpy.A -> Infected

    Scanned
    ============================
    Objects: 30194
    Directories: 1862
    Archives: 6418
    Size(Kb): 1620953
    Infected files: 6

    Found
    ============================
    Viruses found: 2
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 193

    pouvez-vous m'aider à éradiquer les fichiers infectés.

    merci

    Jopp
    0
  2. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    pas bien grave
    deja vide ta poubelle
    et utilise ceci en mode sans echec
    alors action numero 1
    telecharger ce fichier :
    ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe

    Action numero 2 :o)
    Demarrer en mode sans echec :
    tapotter sur la touche F8 sans arret desque tu allume ton PC

    Appliquer le fichier dans le mode sans echec
    le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal
    0
  3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    a la prochaine utilisation promis je rajoute sans les VIRUS
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. jopp
     
    Bonjour,

    et bien voilà, après les manips prescrites, voici le résultat de RAV :

    Scan started at 20/04/2004 14:39:41

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\Jocelyne\Local Settings\Temp\Belt.cab->Belt.exe - TrojanDownloader:Win32/Stubby.A -> Infected
    C:\Documents and Settings\Jocelyne\Local Settings\Temp\Belt.exe - TrojanDownloader:Win32/Stubby.A -> Infected
    C:\Documents and Settings\Jocelyne\Local Settings\Temp\bi.cab->biprep.exe - TrojanSpy/Win32.BiSpy.A -> Infected
    C:\Documents and Settings\Jocelyne\Local Settings\Temp\biprep.exe - TrojanSpy/Win32.BiSpy.A -> Infected

    Scanned
    ============================
    Objects: 30592
    Directories: 1907
    Archives: 6521
    Size(Kb): 1386655
    Infected files: 4

    Found
    ============================
    Viruses found: 2
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 197

    Avez-vous une autre idée ?

    merci

    Jopp
    0
  6. jopp
     
    oui, j'ai déjà essayé, mais je n'ai pas de répertoire Local Settings dans Jocelyne et en faisant la recherche par Démarrer/Rechercher, il ne trouve rien non plus...

    merci quand même.

    Jopp
    0
    1. darkcrystal33 Messages postés 3815 Statut Contributeur 193
       
      si tu est sous Windows XP essaye ça:

      La fonction de recherche des fichiers et des dossiers :

      La fonction " Rechercher " dans Windows XP est un peu tortueuse … On la lance en cliquant sur " Démarrer " - " Rechercher " puis " Tous les fichiers et tous les dossiers ".
      Vous pouvez vous intéresser à un nom de répertoire et de fichier ou à " un mot ou une phrase dans le fichier ".
      Le choix " Recherche dans " vous permet de limiter votre recherche à un dossier ( et ses sous-dossiers ) en particulier.
      Il faut cliquer sur la petite flèche placée à droite de " disques durs locaux " pour pouvoir sélectionner le choix " parcourir ".

      Si vous faites une recherche sur les fichiers cachés, vous devez cliquer sur " Options avancées " et cocher " Rechercher dans les fichiers et les dossiers cachés.
      Certains fichiers ne seront pas trouvés si vous ne cochez pas également " Rechercher dans les sous-dossiers " et " Rechercher dans les dossiers système ".

      Attention : A la différence des précédentes versions de Windows, le fait d' avoir paramétrer l' Explorateur Windows afin qu' il affiche les fichiers et dossiers cachés n' influence en rien vos résultats de recherche.
      En bref, il vous faut en plus le spécifier quand vous lancez une recherche ( ou paramétrer cette option par défaut ) ...
      Vous pouvez sauvegarder une recherche en cliquant sur " Fichier " - " Enregistrer la recherche ". Un fichier portant l' extension .fnd sera enregistré. Il ne vous restera plus qu' à l' ouvrir pour retrouver les paramètres correspondants à la requête indiquée. Par ailleurs, dans la case " Rechercher dans " il est possible de taper directement un nom de dossier.


      *** http://vil.nai.com/vil/stinger/ ***
      *** http://www.ravantivirus.com/scan/ ***
      0
  7. jopp
     
    merci pour le conseil, j'ai effectivement trouvé les fichiers infectés et les ai supprimé à la main.

    le scan sous RAV ne trouve plus rien. ouf.

    j'ai par contre un message de n-case en anglais qui m'alerte sur une réinstallation à faire... mais je ne sais pas ce que c'est.

    d'autre part, au démarrage de windows, il m'indique le fichier bridge.dll est introuvable dans c:/windows/downloadedProgramfiles/
    le message est Rundll.

    savez-vous de quoi il s'agit.

    merci à tous.

    Jopp
    0
  8. darkcrystal33 Messages postés 3815 Statut Contributeur 193
     
    il s'agit de deux spywares, si tu n'avait pas les symptomes avant c'est peut être que tu a enlevé des fichiers nécessaires a leur fonctionnement avec RimouveXPFr.

    télécharge spybot pour les enlever définitivement et corriger les problèmes ici:
    http://www.spybot-updates.com/files/spybotsd13rc3.exe

    des infos supplémentaires sur n-case et nettoyage manuel ici:
    http://www.pestpatrol.com/pestinfo/n/ncase.asp

    ps: certains programmes refusent de fonctionner correctement s'ils ne détectent plus le spyware qui leur est associé.

    *** http://vil.nai.com/vil/stinger/ ***
    *** http://www.ravantivirus.com/scan/ ***
    0
  9. darkcrystal33 Messages postés 3815 Statut Contributeur 193
     
    tu peux aussi nettoyer ta base de registe en téléchargeant regseeker
    ici:
    http://www.hoverdesk.net/dl/en/RegSeeker.zip

    ps: spybot et regseeker ont tous les deux des fonctions de sauvegarde(backup) qui te permettre en cas de problème d'annuler les modifications qu'ils ont faites...tu peux donc les utiliser sans danger.

    *** http://vil.nai.com/vil/stinger/ ***
    *** http://www.ravantivirus.com/scan/ ***
    0
  10. darkcrystal33 Messages postés 3815 Statut Contributeur 193
     
    ...
    0
  11. jopp
     
    Bonjour,

    ces deux messages étaient apparus avant les manips pour éradiqués les virus.

    merci pour les conseils, mais je ne sais pas lire l'anglais, je n'arrive donc pas à faire les manips du site que tu me recommandes pour n-case.

    existe-t-il quelquechose en français ?

    merci encore

    Jopp
    0
  12. jopp
     
    Salut,

    j'ai essayé tes conseils, mais la moitié des instructions données ne correspondent pas à mes propres fichiers dans Regedit ou autre.

    pourtant, n-case est toujours actif, de même que ce foutu message de bridge.dll manquant qui existe dans Regedit.

    quelqu'un a-t-il une procédure particulière à m'indiquer.

    merci

    Jopp
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    pur bridge dll
    tu fait demarrer/executer tu tapes msconfig
    tu vas sur l onglet demarrage et tu cherche si quelque chose est en rapport avec ca
    si tu trouve tu decoche cet ligne ettu click sur appliquer
    au prochain redemarrage une fenetre vas s ouvrir tu coche ne plus afficher ce message et ok
    et regarde de meme pour l autre
    j espere que tu est sur xp car la fonction msconfig n est pas avec windows 2000
    0
  14. darkcrystal33 Messages postés 3815 Statut Contributeur 193
     
    si tu as windows 2000 tu peux télécharger msconfig ici:
    http://www.techadvice.cc/files/s29k2/w98/msconfig.exe

    ça marche sous win 2000. procédure a suivre ci-dessous:

    * Copy the file msconfig.exe from the c:\windows\system folder to the Windows 2000 c:\winnt\system32 folder.

    * Click | Start | Run | and type msconfig on the text box and click the OK button to start MSCONFIG
    * ignore the error messages you get about not finding the following files
    o config.sys
    o autoexec.bat
    o win.ini
    o system.ini
    * Click the startup tab
    * Check or Uncheck the check boxes of the programs you want to run or not run
    ---------------------------------------------------
    ou bien tu peux utiliser ce programme:
    http://www.mlin.net/files/StartupCPL.zip
    voir ici:
    http://www.mlin.net/StartupCPL.shtml

    *** http://vil.nai.com/vil/stinger/ ***
    *** http://www.ravantivirus.com/scan/ ***
    0
  15. jopp
     
    Bonsoir,

    je suis sous xp et la manip dans msconfig a fonctionné pour le fichier bridge.dll

    faut-il toucher au regedit concernant ce fichier ou non ?

    n-case ne réapparaît pas pour le moment non plus, mais ça reste à confirmer.

    en tout cas, merci encore beaucoup.

    Jopp
    0
  16. jopp
     
    ah, j'ai parlé trop vite pour n-case, il est toujours là...

    jopp
    0
  17. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    pour bridge pas necessaire mais si tu as regcleaner tu peut faire nettoyage de registre
    pour n case
    qu est ce que cela te dit exactement
    0
  18. jopp
     
    voici le résultat de hijackthis

    Logfile of HijackThis v1.97.7
    Scan saved at 14:14:30, on 23/04/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\chello\ChelloMessenger.exe
    C:\Program Files\chello\ChelloDesktop.exe
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\WINDOWS\System32\LVCOMSX.EXE
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe
    C:\Program Files\Nikon\NkView5\NkvMon.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\eMule\emule.exe
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Jocelyne\Mes documents\Logiciels\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=1033542132452322
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.laposte.net/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.fra.chello.fr/ssi/welcome/welcome.php?url=home&src=ie
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=1033542132452322
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par chello broadband n.v.
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy04.chello.fr:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file)
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-DFF7-EC6BF4D5FA7D} - C:\WINDOWS\gsim.dll
    O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
    O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
    O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
    O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ChelloBackground] C:\Program Files\chello\ChelloMessenger.exe
    O4 - HKLM\..\Run: [ChelloDesktop] C:\Program Files\chello\ChelloDesktop.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [ebkrkb] C:\WINDOWS\ebkrkb.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
    O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: Recherche (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://home.fra.chello.fr/ssi/welcome/welcome.php?url=home&src=ie
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://encyclo.voila.fr/JS/tdserver.cab
    O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateur/AccountHelper.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38049.9621296296
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

    merci pour tes conseils.

    Jopp
    0
  • 1
  • 2