Bouffeur de recources virus ou spyware ?
José
-
jess15 -
jess15 -
Bonjour a tous,
J'ai dans mon pc un truc collant que je n'ais pas reussi a retirer les anti virus (Antivir, A²) ne trouvent rien, CWShredder non plus, Hijackthis trouve ceci ( voir plus bas ) qui me semble bizzare, en effet ces fichiers (1111a.exe, 1111c.exe) sont repertoriés dans les listes de virus comme etant la marque du virus WORM_DUMARU, j'ai suivi les instruction pour l'eliminer mais ca donne rien, il revient toujours.
Autre bizzarerie HijackThis trouve dans system.ini :
Shell=explorer.exe C:\WINNT\System32\1111c.exe
mais dans le fichier system.ini du dossier system il n'y a pas cette ligne ????
Quelqu'un peut-il m'aider ?
Merci
LES LOGS HIJACK SUSPECT :
F0 - system.ini: Shell=explorer.exe C:\WINNT\System32\1111c.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\System32\1111c.exe
O4 - HKLM\..\Run: [load32] C:\WINNT\System32\1111a.exe
LE LOG COMPLET :
Logfile of HijackThis v1.97.7
Scan saved at 11:38:29, on 17/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\Program Files\Olitec\RNIS\vstartx.exe
C:\WINNT\System32\PGPsdkServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Program Files\Hewlett-Packard\Clavier étendu\HpMmKbd.exe
C:\Program Files\Olitec\RNIS\gsyno.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Windows CE Services\WCESCOMM.EXE
F:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\PGP Corporation\PGP for Windows XP\PGPtray.exe
D:\program files\3m\PSN2Lite\Psn2Lite.exe
D:\PROGRA~1\3M\PSN2Lite\PSNGive.exe
C:\WINNT\explorer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINNT\Profiles\jose\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8&oe=UTF-8
F0 - system.ini: Shell=explorer.exe C:\WINNT\System32\1111c.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\System32\1111c.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [HpMmKbd] "C:\Program Files\Hewlett-Packard\Clavier étendu\HpMmKbd.exe"
O4 - HKLM\..\Run: [GazelDisplay] "C:\Program Files\Olitec\RNIS\gsyno.exe" -h
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdobeVersionCue] F:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [load32] C:\WINNT\System32\1111a.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Windows CE Services\WCESCOMM.EXE"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = F:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\program files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PGPtray.lnk = ?
O4 - Global Startup: Post-it® Software Notes Lite.lnk = D:\program files\3M\PSN2Lite\Psn2Lite.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Créer un favori (HKLM)
O9 - Extra 'Tools' menuitem: Créer un favori... (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O13 - www. Prefix: http://
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
J'ai dans mon pc un truc collant que je n'ais pas reussi a retirer les anti virus (Antivir, A²) ne trouvent rien, CWShredder non plus, Hijackthis trouve ceci ( voir plus bas ) qui me semble bizzare, en effet ces fichiers (1111a.exe, 1111c.exe) sont repertoriés dans les listes de virus comme etant la marque du virus WORM_DUMARU, j'ai suivi les instruction pour l'eliminer mais ca donne rien, il revient toujours.
Autre bizzarerie HijackThis trouve dans system.ini :
Shell=explorer.exe C:\WINNT\System32\1111c.exe
mais dans le fichier system.ini du dossier system il n'y a pas cette ligne ????
Quelqu'un peut-il m'aider ?
Merci
LES LOGS HIJACK SUSPECT :
F0 - system.ini: Shell=explorer.exe C:\WINNT\System32\1111c.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\System32\1111c.exe
O4 - HKLM\..\Run: [load32] C:\WINNT\System32\1111a.exe
LE LOG COMPLET :
Logfile of HijackThis v1.97.7
Scan saved at 11:38:29, on 17/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\Program Files\Olitec\RNIS\vstartx.exe
C:\WINNT\System32\PGPsdkServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Program Files\Hewlett-Packard\Clavier étendu\HpMmKbd.exe
C:\Program Files\Olitec\RNIS\gsyno.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Windows CE Services\WCESCOMM.EXE
F:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\PGP Corporation\PGP for Windows XP\PGPtray.exe
D:\program files\3m\PSN2Lite\Psn2Lite.exe
D:\PROGRA~1\3M\PSN2Lite\PSNGive.exe
C:\WINNT\explorer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINNT\Profiles\jose\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8&oe=UTF-8
F0 - system.ini: Shell=explorer.exe C:\WINNT\System32\1111c.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\System32\1111c.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [HpMmKbd] "C:\Program Files\Hewlett-Packard\Clavier étendu\HpMmKbd.exe"
O4 - HKLM\..\Run: [GazelDisplay] "C:\Program Files\Olitec\RNIS\gsyno.exe" -h
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdobeVersionCue] F:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [load32] C:\WINNT\System32\1111a.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Windows CE Services\WCESCOMM.EXE"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = F:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\program files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PGPtray.lnk = ?
O4 - Global Startup: Post-it® Software Notes Lite.lnk = D:\program files\3M\PSN2Lite\Psn2Lite.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Créer un favori (HKLM)
O9 - Extra 'Tools' menuitem: Créer un favori... (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O13 - www. Prefix: http://
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
A voir également:
- Bouffeur de recources virus ou spyware ?
- Virus mcafee - Accueil - Piratage
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Spyware terminator - Télécharger - Antivirus & Antimalwares
18 réponses
salut les ligne que ta citer plus haut
correspond au virus WORM_DUMARU tu l'a suprimer mais il revien au demarage donc il faut le suprimer du registre
j'ai trouver la soluce sur un site mais c en englais . si tu veut je t'aiderai pour la traduction;))
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_DUMARU.AC
si ta des question n'hesite pas
@++++++++
correspond au virus WORM_DUMARU tu l'a suprimer mais il revien au demarage donc il faut le suprimer du registre
j'ai trouver la soluce sur un site mais c en englais . si tu veut je t'aiderai pour la traduction;))
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_DUMARU.AC
si ta des question n'hesite pas
@++++++++
tu vas voir la
http://www.trendmicro.com/search/google/results.asp?
tu as une backdoor BKDR_AGOBOT.xx
cf
http://www.commentcamarche.net/forum/affich-808543
http://www.trendmicro.com/search/google/results.asp?
tu as une backdoor BKDR_AGOBOT.xx
cf
http://www.commentcamarche.net/forum/affich-808543
Salut,
C'est sympa je vais essayer et je vous tiens au courant, j'avoue que j'en ai vraiment marre, et ces conseils me remontent le moral, surtout que je viens de passer l'antivirus et maintenant je n'arrive pas a entrer dans windows, apres le mot de passe je vois le bureau un instant et pouf je me retrouve en ouverture de session, grrrrrr
a++
C'est sympa je vais essayer et je vous tiens au courant, j'avoue que j'en ai vraiment marre, et ces conseils me remontent le moral, surtout que je viens de passer l'antivirus et maintenant je n'arrive pas a entrer dans windows, apres le mot de passe je vois le bureau un instant et pouf je me retrouve en ouverture de session, grrrrrr
a++
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Pas le choix, je fait une recuperation windows car je n'ai pas reussi a entrer dans session ni admin, ni en mode sans echec, ou la la, c'est la meoude, ensuite je m'occupe de ce maudit virus si il est encore la, pas de questions pour le moment, je croise les doigts
a++
a++
Recupération terminée, je peut entrer dans windows maintenant, ouf, j'ai fait la procedure indiquée pas jess15 (un peut trop vite je crois) ca a pas marché, demain je le refait SERIEUSEMENT, parceque la J'EN N'AIS MARRE.
A demain, encore merci
A demain, encore merci
Salut,
Je viens seulement de refaire la procedure pour eliminer DUMARU, et oui j'avais du boulot en retard, lol, donc c'est avec serieux que j'ai refait tout bien comme y faut, et bin que neni, la bestiole est toujours la, indetectable par les AV le dernier utilisé c'est avast et la je cale parceque c'est quand meme fort, tout indique que c'est DUMARU et pourtant ca ne marche pas. un indice peut etre :
En demarrant en mode sans echec j'ai eu une erreur sur le fameux 1111c.exe alors j'ai noté les DLL associés si ca vous parle, merci de votre aide.
Bon Week a tous, je reviens LUNDI
A++++
LES DLL (se cache t'il dans un de ceux la) :
NAME="advapi32.dll"
NAME="gdi32.dll"
NAME="kernel32.dll"
NAME="ntdll.dll"
NAME="ole32.dll"
NAME="oleaut32.dll"
NAME="shell32.dll"
NAME="user32.dll"
NAME="wininet.dll"
NAME="winsock.dll"
Je viens seulement de refaire la procedure pour eliminer DUMARU, et oui j'avais du boulot en retard, lol, donc c'est avec serieux que j'ai refait tout bien comme y faut, et bin que neni, la bestiole est toujours la, indetectable par les AV le dernier utilisé c'est avast et la je cale parceque c'est quand meme fort, tout indique que c'est DUMARU et pourtant ca ne marche pas. un indice peut etre :
En demarrant en mode sans echec j'ai eu une erreur sur le fameux 1111c.exe alors j'ai noté les DLL associés si ca vous parle, merci de votre aide.
Bon Week a tous, je reviens LUNDI
A++++
LES DLL (se cache t'il dans un de ceux la) :
NAME="advapi32.dll"
NAME="gdi32.dll"
NAME="kernel32.dll"
NAME="ntdll.dll"
NAME="ole32.dll"
NAME="oleaut32.dll"
NAME="shell32.dll"
NAME="user32.dll"
NAME="wininet.dll"
NAME="winsock.dll"
Salut,
Ok jess pour les dll, c'est ce qui me semblait je touche a rien.
Sinon du nouveau, le fichier 1111c.exe introuvable sur le disque dur semble etre masqué par l'explorer windows, en effet le demarrage de l'explorer dans le registre est le suivant :
Shell=explorer.exe C:\WINNT\System32\1111c.exe
et il est impossible de suprimer cette ligne elle revient toujours, je pense que le virus se cache dans le process explorer.exe et qu'il masque le fichier 1111c.exe pour que l'on ne puisse pas l'effacer, j'ai renommé un fichier de mon bureau en 1111c.exe et hop il a disparu il est maintenant invisible par le system, je sais qu'il est la car quand je renomme un autre fichier en 1111c.exe j'ai un message qui me dit qu'il existe deja!
je vais demarrer en console de recuperation pour voir si je peux le voir et l'effacer.
Si vous avez d'autres idées, je suis tout ouie !
Merci A++
Ok jess pour les dll, c'est ce qui me semblait je touche a rien.
Sinon du nouveau, le fichier 1111c.exe introuvable sur le disque dur semble etre masqué par l'explorer windows, en effet le demarrage de l'explorer dans le registre est le suivant :
Shell=explorer.exe C:\WINNT\System32\1111c.exe
et il est impossible de suprimer cette ligne elle revient toujours, je pense que le virus se cache dans le process explorer.exe et qu'il masque le fichier 1111c.exe pour que l'on ne puisse pas l'effacer, j'ai renommé un fichier de mon bureau en 1111c.exe et hop il a disparu il est maintenant invisible par le system, je sais qu'il est la car quand je renomme un autre fichier en 1111c.exe j'ai un message qui me dit qu'il existe deja!
je vais demarrer en console de recuperation pour voir si je peux le voir et l'effacer.
Si vous avez d'autres idées, je suis tout ouie !
Merci A++
Bingo! le 1111c.exe et 1111a.exe etait bien masqués, j'ai pu les supprimer dans la console de recup, maintenant j'ai un message d'erreur au demarrage qui me dit que le fichier 1111c.exe est introuvable. mais l'animal est corriace car il est quand meme revenu au demarrage suivant malgré le nettoyage du registre.
A L'AIDE PLEASE
CA M'ENERVE, LOL
A L'AIDE PLEASE
CA M'ENERVE, LOL
salut suprime le avec the kill box
Affiche tous les fichiers et dossiers :
clicker sur demarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Puis fais «Ok» pour valider les changements.
ensuite telecharge the killbox comme ceci
Ajouté par balltrap34(27/05/2004 à 22:59 GMT+1)
salut
essai avec ceci
Télécharge "TheKillBox" sur :
http://download.broadbandmedic.com/
Pose-le sur ton bureau. Lance-le.
Dans "Paste full path of file.." ->copie/colle:
(le chemin du fichier) dans ton cas c C:\WINNT\System32\1111c.exe
Décoche "Create backup.."
Clique "Kill File".
Redémarre.
apres avoir suprime le virus tu ouvre le registre
demarrer/executer et tape : regedit
ouvre cette clee
# HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
a droite suprime la valeur qui ressemble a ca 1111a.exe"
ensuite ouvre cette clée
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows NT>CurrentVersion>Winlogon>Shell
a droite tu suprime "1111a.exe "
ensuite ouvre cette clee
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows NT>CurrentVersion>Winlogon>Shell
tu suprime a droite cette valeur Explorer.exe = %System%\1111c.exe
ensuite clike sur edition/nouveau/valeur chaine ensuite tape le nom (Shell) ensuite tu clike droit dessu /modifier et tu tape (Explorer.exe) dans donnee de la valeur
ensuite tu fait
demarrer/executer et tape : SYSTEM.INI
normalement il va t'ouvrire le bloc note
ensuite tu suprime le chemin du virus si tu le trouve bien sure
apres tu redemare et tu refait un scan
@++++++++++++++++++++++++++
Affiche tous les fichiers et dossiers :
clicker sur demarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Puis fais «Ok» pour valider les changements.
ensuite telecharge the killbox comme ceci
Ajouté par balltrap34(27/05/2004 à 22:59 GMT+1)
salut
essai avec ceci
Télécharge "TheKillBox" sur :
http://download.broadbandmedic.com/
Pose-le sur ton bureau. Lance-le.
Dans "Paste full path of file.." ->copie/colle:
(le chemin du fichier) dans ton cas c C:\WINNT\System32\1111c.exe
Décoche "Create backup.."
Clique "Kill File".
Redémarre.
apres avoir suprime le virus tu ouvre le registre
demarrer/executer et tape : regedit
ouvre cette clee
# HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
a droite suprime la valeur qui ressemble a ca 1111a.exe"
ensuite ouvre cette clée
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows NT>CurrentVersion>Winlogon>Shell
a droite tu suprime "1111a.exe "
ensuite ouvre cette clee
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows NT>CurrentVersion>Winlogon>Shell
tu suprime a droite cette valeur Explorer.exe = %System%\1111c.exe
ensuite clike sur edition/nouveau/valeur chaine ensuite tape le nom (Shell) ensuite tu clike droit dessu /modifier et tu tape (Explorer.exe) dans donnee de la valeur
ensuite tu fait
demarrer/executer et tape : SYSTEM.INI
normalement il va t'ouvrire le bloc note
ensuite tu suprime le chemin du virus si tu le trouve bien sure
apres tu redemare et tu refait un scan
@++++++++++++++++++++++++++
Salut,
Bon j'ai essayé Kill Box sans succès il me dit "this file could not be deleted" meme en killant l'explorer windows, j'ai donc utilisé le cd windows et la console de recup pour effacer les 2 intrus et nettoyé le registre, comme jess l'a indiqué, au demarrage suivant mais il semble que ces deux fichiers ne soit qu'un etage de la fusée, est t'il possible que l'étage principal soit planqué dans un service ou un fichier système ?
Sinon je peux bosser mais je plante trop souvent et c'est lent
d'avance merci, et à jess en particulier
Bon j'ai essayé Kill Box sans succès il me dit "this file could not be deleted" meme en killant l'explorer windows, j'ai donc utilisé le cd windows et la console de recup pour effacer les 2 intrus et nettoyé le registre, comme jess l'a indiqué, au demarrage suivant mais il semble que ces deux fichiers ne soit qu'un etage de la fusée, est t'il possible que l'étage principal soit planqué dans un service ou un fichier système ?
Sinon je peux bosser mais je plante trop souvent et c'est lent
d'avance merci, et à jess en particulier
de rien:))
finalement as tu suprime les 2 fichier .??
refait un scan pour avoir le coeur net
@++++++++++
finalement as tu suprime les 2 fichier .??
refait un scan pour avoir le coeur net
@++++++++++
Yo!
MERCI jess pour ton aide, la bete est effacée et ne reviens pas, plus aucune entrée dans le registre ne vient s'ajouter, 3 redémarrages le confirment, c'est gagné.
J'ai desinstallé StyleXP qui démarrait un service suspect, peut-etre que ce soft contenait un malware, enfin je sais pas mais maintenant ca roule.
Encore Merci a jess15
a++
MERCI jess pour ton aide, la bete est effacée et ne reviens pas, plus aucune entrée dans le registre ne vient s'ajouter, 3 redémarrages le confirment, c'est gagné.
J'ai desinstallé StyleXP qui démarrait un service suspect, peut-etre que ce soft contenait un malware, enfin je sais pas mais maintenant ca roule.
Encore Merci a jess15
a++
