virus adware.binet et adware.ncase

Question

j'ai f

jopp · Answer

pardon pour le premier envoi.j'ai fait un scan avec RAV Antivirus et ai trouvé les points suivants :Scan started at 19/04/2004 18:39:17 Scanning memory...Scanning boot sectors...Scanning files...C:\Documents and Settings\Jocelyne\Local Settings\Temp\Belt.cab->Belt.exe - TrojanDownloader:Win32/Stubby.A -> InfectedC:\Documents and Settings\Jocelyne\Local Settings\Temp\Belt.exe - TrojanDownloader:Win32/Stubby.A -> InfectedC:\Documents and Settings\Jocelyne\Local Settings\Temp\bi.cab->biprep.exe - TrojanSpy/Win32.BiSpy.A -> InfectedC:\Documents and Settings\Jocelyne\Local Settings\Temp\biprep.exe - TrojanSpy/Win32.BiSpy.A -> InfectedC:\RECYCLER\S-1-5-21-448539723-2049760794-682003330-1004\Dc12.exe - TrojanDownloader:Win32/Stubby.A -> InfectedC:\RECYCLER\S-1-5-21-448539723-2049760794-682003330-1004\Dc13.exe - TrojanSpy/Win32.BiSpy.A -> InfectedScanned============================	Objects: 30194	Directories: 1862	Archives: 6418	Size(Kb): 1620953	Infected files: 6Found============================	Viruses found: 2	Suspicious files: 0	Disinfected files: 0	Mail files: 193pouvez-vous m'aider à éradiquer les fichiers infectés.merciJopp

balltrap34 · Answer

salutpas bien gravedeja vide ta poubelleet utilise ceci en mode sans echecalors action numero 1 telecharger ce fichier : ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe Action numero 2 :o) Demarrer en mode sans echec : tapotter sur la touche F8 sans arret desque tu allume ton PC Appliquer le fichier dans le mode sans echec le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal

Axl Virus-Killer · Answer

tu oubli de preciserqu'il reviendra en mode normal SANS ses virus :o)MCP 70-270  |  http://www.renonce.comftp://www.renonce.com/pub/renonce/RimouveXPFr.exe

balltrap34 · Answer

a la prochaine utilisation promis je rajoute sans les VIRUS

jopp · Answer

Bonjour,et bien voilà, après les manips prescrites, voici le résultat de RAV :Scan started at 20/04/2004 14:39:41 Scanning memory...Scanning boot sectors...Scanning files...C:\Documents and Settings\Jocelyne\Local Settings\Temp\Belt.cab->Belt.exe - TrojanDownloader:Win32/Stubby.A -> InfectedC:\Documents and Settings\Jocelyne\Local Settings\Temp\Belt.exe - TrojanDownloader:Win32/Stubby.A -> InfectedC:\Documents and Settings\Jocelyne\Local Settings\Temp\bi.cab->biprep.exe - TrojanSpy/Win32.BiSpy.A -> InfectedC:\Documents and Settings\Jocelyne\Local Settings\Temp\biprep.exe - TrojanSpy/Win32.BiSpy.A -> InfectedScanned============================	Objects: 30592	Directories: 1907	Archives: 6521	Size(Kb): 1386655	Infected files: 4Found============================	Viruses found: 2	Suspicious files: 0	Disinfected files: 0	Mail files: 197Avez-vous une autre idée ?merciJopp

jopp · Answer

oui, j'ai déjà essayé, mais je n'ai pas de répertoire Local Settings dans Jocelyne et en faisant la recherche par Démarrer/Rechercher, il ne trouve rien non plus...merci quand même.Jopp

jopp · Answer

merci pour le conseil, j'ai effectivement trouvé les fichiers infectés et les ai supprimé à la main.le scan sous RAV ne trouve plus rien. ouf.j'ai par contre un message de n-case en anglais qui m'alerte sur une réinstallation à faire... mais je ne sais pas ce que c'est.d'autre part, au démarrage de windows, il m'indique le fichier bridge.dll est  introuvable dans c:/windows/downloadedProgramfiles/le message est Rundll.savez-vous de quoi il s'agit.merci à tous.Jopp

darkcrystal33 · Answer

il s'agit de deux spywares, si tu n'avait pas les symptomes avant c'est peut être que tu a enlevé des fichiers nécessaires a leur fonctionnement avec RimouveXPFr.télécharge spybot  pour les enlever définitivement et corriger les problèmes ici:http://www.spybot-updates.com/files/spybotsd13rc3.exedes infos supplémentaires sur n-case et nettoyage manuel ici:http://www.pestpatrol.com/pestinfo/n/ncase.aspps: certains programmes refusent de fonctionner correctement s'ils ne détectent plus le spyware qui leur est associé.*** http://vil.nai.com/vil/stinger/ ****** http://www.ravantivirus.com/scan/ ***

darkcrystal33 · Answer

tu peux aussi nettoyer ta base de registe en téléchargeant regseekerici:http://www.hoverdesk.net/dl/en/RegSeeker.zipps:  spybot et regseeker ont tous les deux des fonctions de sauvegarde(backup) qui te permettre en cas de problème d'annuler les modifications qu'ils ont faites...tu peux donc les utiliser sans danger.*** http://vil.nai.com/vil/stinger/ ****** http://www.ravantivirus.com/scan/ ***

darkcrystal33 · Answer

...

jopp · Answer

Bonjour,ces deux messages étaient apparus avant les manips pour éradiqués les virus.merci pour les conseils, mais je ne sais pas lire l'anglais, je n'arrive donc pas à faire les manips du site que tu me recommandes pour n-case.existe-t-il quelquechose en français ?merci encoreJopp

jopp · Answer

Salut,j'ai essayé tes conseils, mais la moitié des instructions données ne correspondent pas à mes propres fichiers dans Regedit ou autre.pourtant, n-case est toujours actif, de même que ce foutu message de bridge.dll manquant qui existe dans Regedit.quelqu'un a-t-il une procédure particulière à m'indiquer.merciJopp

balltrap34 · Answer

salutpur bridge dlltu fait demarrer/executer tu tapes msconfigtu vas sur l onglet demarrage et tu cherche si quelque chose est en rapport avec casi tu trouve tu decoche cet ligne ettu click sur appliquerau prochain redemarrage une fenetre vas s ouvrir tu coche ne plus afficher ce message et oket regarde de meme pour l autrej espere que tu est sur xp car la fonction msconfig n est pas avec windows 2000

darkcrystal33 · Answer

si tu as windows 2000 tu peux télécharger msconfig ici:http://www.techadvice.cc/files/s29k2/w98/msconfig.exeça marche sous win 2000. procédure a suivre ci-dessous:    *  Copy the file msconfig.exe from the c:\windows\system  folder to the Windows 2000 c:\winnt\system32 folder.     * Click | Start | Run | and type msconfig on the text box and click the OK button to start MSCONFIG    * ignore the error messages you get about not finding the following files          o config.sys          o autoexec.bat          o win.ini          o system.ini    * Click the startup tab    * Check or Uncheck the check boxes of the programs you want to run or not run---------------------------------------------------ou bien tu peux utiliser ce programme:http://www.mlin.net/files/StartupCPL.zipvoir ici:http://www.mlin.net/StartupCPL.shtml*** http://vil.nai.com/vil/stinger/ ****** http://www.ravantivirus.com/scan/ ***

jopp · Answer

Bonsoir,je suis sous xp et la manip dans msconfig a fonctionné pour le fichier bridge.dllfaut-il toucher au regedit concernant ce fichier ou non ?n-case ne réapparaît pas pour le moment non plus, mais ça reste à confirmer.en tout cas, merci encore beaucoup.Jopp

jopp · Answer

ah, j'ai parlé trop vite pour n-case, il est toujours là...jopp

balltrap34 · Answer

pour bridge pas necessaire mais si tu as regcleaner tu peut faire nettoyage de registrepour n casequ est ce que cela te dit exactement

jopp · Answer

merci.j'ai passé regcleaner et je n'ai pas pu supprimer l'entrée de bridge, mais il ne tourne plus.pour n-case, le message est celui que l'on peut lire à l'adresse ci-dessous au début :http://www.pestpatrol.com/pestinfo/n/ncase.asp merci de ton aide.jopp

balltrap34 · Answer

reutilise ce log et le copier coller icihttp://www.spywareinfo.com/~merijn/files/HijackThis.exe

jopp · Answer

voici le résultat de hijackthisLogfile of HijackThis v1.97.7Scan saved at 14:14:30, on 23/04/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\chello\ChelloMessenger.exeC:\Program Files\chello\ChelloDesktop.exeC:\Program Files\Logitech\Video\LogiTray.exeC:\WINDOWS\System32\LVCOMSX.EXEC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exeC:\Program Files\Nikon\NkView5\NkvMon.exeC:\Program Files\Logitech\Video\FxSvr2.exeC:\Program Files\eMule\emule.exeC:\Program Files\Windows Media Player\wmplayer.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Jocelyne\Mes documents\Logiciels\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=1033542132452322R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.comR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.laposte.net/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.fra.chello.fr/ssi/welcome/welcome.php?url=home&src=ieR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=1033542132452322R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par chello broadband n.v.R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.comR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy04.chello.fr:8080R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file)O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {4E7BD74F-2B8D-469E-DFF7-EC6BF4D5FA7D} - C:\WINDOWS\gsim.dllO2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dllO2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ChelloBackground] C:\Program Files\chello\ChelloMessenger.exeO4 - HKLM\..\Run: [ChelloDesktop] C:\Program Files\chello\ChelloDesktop.exeO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXEO4 - HKLM\..\Run: [ebkrkb] C:\WINDOWS\ebkrkb.exeO4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInitO4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exeO4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exeO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO9 - Extra button: Recherche (HKLM)O9 - Extra button: Messenger (HKLM)O9 - Extra 'Tools' menuitem: Messenger (HKLM)O14 - IERESET.INF: START_PAGE_URL=http://home.fra.chello.fr/ssi/welcome/welcome.php?url=home&src=ieO16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://encyclo.voila.fr/JS/tdserver.cabO16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateur/AccountHelper.cabO16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38049.9621296296O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabmerci pour tes conseils.Jopp

balltrap34 · Answer

re
tu as le virus gaobot
desactive ta restauration
pour ca tu fait click droit sur poste de travail
propriete.tu click sur onglet restauration systeme
tu coche la case desactiver la restauration et applique

Clique sur Démarrer / Programmes / Accessoires / Invité de commandes. Tape la commande suivante :

RD /s "c:\windows\system32\config\systemprofile\local setting\ temporary internet files"

Effacer fichiers temps

tu click sur demarrer/panneaux de configuration/option internet
une fenetre s ouvre tu click sur supprime les fichiers
une nouvelle petite fenetre s ouvre tu coche effacer tous le contenu hors connection et click ok

ensuite turedemarre en mode sans echec et tu passe le rimouver
attention retelecharge le avant il a ete mis a jour

alors action numero 1
telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser
ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe

Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus

Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve dans le dossier tmp que le fichier rimouveur.exe vas creer ...

action numero 4
un petit http://www.ravantivirus.com/scan/ si le Rimouveur ne trouve pas le virus :o)

jopp · Answer

salut,

merci pour l'analyse.

je n'arrive pas à effacer les fichiers temps sous dos, il me dit que le chemin d'accès est incorrect. j'ai essayé avec les espaces, sans les espaces... rien

(RD /s "c:\...)

peux-tu me la redonner ou la vérifier. merci

j'ai utilisé spykiller, qui m'a trouvé 35 entrées de spywares, dont beaucoup de 180 solutions (ncases), j'ai du les supprimer à la main, car le lien sur leur site est payant. mais ça ne fonctionne toujours pas.

je désespère. heureusement qu'il fait beau aujourd'hui, sinon, je me ferai bien une petite déprime ;-)

à +

Jopp

darkcrystal33 · Answer

supprime les lignes suivantes...
----------------------------------------------------------------------
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file)
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-DFF7-EC6BF4D5FA7D} - C:\WINDOWS\gsim.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
------------------------------------------------------------------

télécharge spybot et nettoie ton pc avec...ici:
http://www.spybot-updates.com/files/spybotsd13rc3.exe

*** http://vil.nai.com/vil/stinger/ ***
*** http://www.ravantivirus.com/scan/ ***

balltrap34 · Answer

salutpour ca il ne faut pas mettre les guillemets et respecter les espacesRD /s  c:\windows\system32\config\systemprofile\local setting\ temporary internet files

jopp · Answer

re

toujours impossible d'appliquer RD /s, il me dit que le fichier est introuvable et j'ai pourtant tout respecté et retapé plusieurs fois...

en ce qui concerne les O2... à supprimer, je ne sais pas ou les trouver. Dans Regedit ???

merci

Jopp

balltrap34 · Answer

salutpour les o2 tu relance hijacthis tu coche ces lignes et tu click sur fixattebtion ne te trompe pas imprime les lignes pour etre sur de ne pas te tromper

jopp · Answer

Bonjour,

ça y est, c'est fait et je n'ai plus de virus trouvé par rav.

merci pour ton aide.

par contre, dans msconfig, onglet Démarrage, je dois décocher régulièrement bridge.dll et belt.exe qui se réactivent seuls. Y'a-t-il une manip pour les supprimer de msconfig lorsqu'ils ont été supprimés partout.

merci

bonne journée.

jopp

balltrap34 · Answer

salut jopp
retelecharge le rimouver il a les 2 dans ces donnees
pense a l appliquer en mode sans echec

alors action numero 1
telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser
ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe

Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus

Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve dans le dossier tmp que le fichier rimouveur.exe vas creer ...

action numero 4
un petit http://www.ravantivirus.com/scan/ si le Rimouveur ne trouve pas le virus :o)

jopp · Answer

re

voila le résultat de rimouver

Taches effectués sur le PC :

Elément(s) supprimé(s) :
Fichier C:\WINDOWS\*.tmp supprimé (Fichiers Temporaire, peut cacher des virus)

Fichier(s) avec demande de suppression manuelle :
C:\WINDOWS\System32\Wins\

Correctif Microsoft KB824146 a été installé

je relance rav mais bridge.dll et belt.exe sont encore cochés dans ms config. j'ai redécoché.

à +

Jopp

jopp · Answer

re rav n'a rien trouvé.j'ai installé zone alarm, j'espère que je serai mieux protégée lorsqu'e-mule tourne.à +jopp

Virus adware.binet et adware.ncase

30 réponses

Votre réponse

Discussions similaires

Newsletters