Bonne ou mauvaise supp de virus ?

JLB -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
salut tout le monde
après avoir été infecté par istactivex.dll j'ai supprimé ce fichiers plus un autre .inf en mode commande mais depuis le problème perdure, ai-je bien fait, merci pour vos réponses

4 réponses

  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    quel est ton probleme
    0
    1. jlb
       
      salut mon pb à l'origine c'est trojan qui envoie en permanence des email et donc m'inonde de fenêtre après avoir effectué ravantivirus il a détecté istactivex.dll que j'ai supprimé manuellement mais le problème perdure
      mreci pour ta réponse
      0
  2. IcePanther Messages postés 61 Statut Membre 5
     
    Salut

    J'ai aussi été infecté par ce *** ISTActiveX.Dll, pour le virer, il faut terminer le processus qui est en mémoire, virer le fichier (et otut son dossier sous c:\windows\system32\inf alors que le vrai est c:\windows\inf et virer ensuite ses cles de registre sous HKEY_CLASSES_ROOT. C'est comme ça que j'ai pu le retirer...

    En espérant que cette méthode marche avec toi aussi,

    Ice.

    ..:: Claws of Destiny tear my life out of me ::..
    0
    1. jlb
       
      merci pour ta réponse mais je n'ai pas de répertoire windows\system32\inf et je ne l'ai pas supprimé d'ailleurs les 2 fichiers étaient dans downloaded program files...pour le registre je ne sais quoi retirer dans HKEY_CLASSES_ROOT\inf il n'y a qu'un répertoire "persistenthandler" avec {5e941d80-bf96-11cd-b579-08002b30bfeb} comme valeur de clé
      merci pour la réponse
      0
      1. IcePanther Messages postés 61 Statut Membre 5 > jlb
         
        Re,

        Excuse moi de m'etre mal fait comprendre.
        Dans HKEY CLASSES ROOT c'est IstActiveX qu'il faut virer pas INF.
        ET pour le system32\inf, c'est un truc qu'il largue apres donc il ne l'avait peut etre pas fait encore.

        Ice.

        ..:: Claws of Destiny tear my life out of me ::..
        0
      2. JLB > IcePanther Messages postés 61 Statut Membre
         
        merci ice mais la recherche dans la base de registre n'a rien donné !
        merci pour ta réponse
        0
  3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    fait ceci on y verra peut etre plus clair
    Faite scan en ligne et coller le rapport ici sur le post
    utiliser l'antivirus en ligne suivant :
    http://www.ravantivirus.com/scan/
    Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

    Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
    A la fin de l'analyse, copier/coller le rapport ici.

    la chasse et le balltrap ma vrai passion
    http://pageperso.aol.fr/balltrap34/page1.html
    0
    1. JLB
       
      salut balltrap34 et merci pour ton aide,
      ci-après ce que tu m'as demandé
      salut OCB et merci de t'occuper de mon cas
      ravantivirus :

      Scan started at 01/07/2004 19:47:45

      Scanning memory...
      Scanning boot sectors...
      Scanning files...
      C:\Documents and Settings\bardel\Local Settings\Temp\CC332.tmp->(Invalid#1*) - MIME/Invalid#1 -> Suspicious

      Scanned
      ============================
      Objects: 41243
      Directories: 3191
      Archives: 6687
      Size(Kb): -1932776
      Infected files: 0

      Found
      ============================
      Viruses found: 0
      Suspicious files: 1
      Disinfected files: 0
      Mail files: 179

      highjack :
      Logfile of HijackThis v1.97.7
      Scan saved at 20:21:55, on 01/07/2004
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\System32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
      C:\Program Files\Norton AntiVirus\SAVScan.exe
      C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\SpywareGuard\sgmain.exe
      C:\Program Files\SpywareGuard\sgbhp.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      F:\Fichiers communs\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr8l.hpwis.com
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = https://register.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=java_wreg_wreg_genpg&product_name=Compaq%20Presario%20X1000%20DL681A#ABF&PROD_SERIAL_ID=CND33101PP&PURCH_DT_MONTH=10&PURCH_DT_DAY=29&PURCH_DT_YEAR=2003&gwCountry=FR
      O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
      O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
      O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [jpeufse] rundll32 C:\WINDOWS\System32:jpeufse.dll,Init 1
      O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
      O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
      O4 - HKLM\..\Run: [SpywareStopper] C:\Program Files\SpyBlocker Software\SpywareStopper\spywarestopper.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKLM\..\RunOnce: [*jpeufse] rundll32 C:\WINDOWS\System32:jpeufse.dll,Init 1
      O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\MRU-Blaster\scheduler.exe
      O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
      O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O9 - Extra button: Messenger (HKLM)
      O9 - Extra 'Tools' menuitem: Messenger (HKLM)
      O14 - IERESET.INF: START_PAGE_URL=http://qfr8l.hpwis.com
      O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
      O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
      O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} -
      O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
      O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4367/mcfscan.cab
      O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} -
      O17 - HKLM\System\CCS\Services\Tcpip\..\{1C6B9B99-5108-42F0-B00C-B6B5E2C39B79}: NameServer = 80.10.246.5 80.10.246.136
      0