VIRUS ???

CLAUDIA -  
 Utilisateur anonyme -
Je pense que mon portable est contaminé par un virus.

Problèmes :
- plus d'accès à Norton (le fenêtre s'ouvre et se referme automatiquement) sauf en mode sans échec (donc sans mise à jour)
- Plus d'accès au gestionnaire des tâches (même problème)

- Hijackthis même problème

Spybot et Ad-aware sont à jour. Après scan et élimination des fichiers trouvés, le problème subsiste.

voivi une analyse Hijackthis en mode sans échec :

Pourriez-vous m'aider ???

Logfile of HijackThis v1.98.2
Scan saved at 09:51:06, on 08/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Claudia\Mes documents\securite\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOCUME~1\Claudia\MESDOC~1\securite\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [powerman] "C:\WINDOWS\System32\powerman.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\Run: [Microsoft World Wide Web] msnmsgr.exe
O4 - HKLM\..\Run: [ccApp.exe] ccApp.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Remote Procedure Calls] mswinrpc.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe

6 réponses

  1. darkcrystal33 Messages postés 3815 Statut Contributeur 193
     
    le résultat de ton log hijackthis ici ==>

    http://hijackthis.de/logfiles/fe1884ac8f27c15a0636080b362385b5.html

    pour ton problème de virus==>
    pc télécharge eScan Antivirus Toolkit Utility
    et nettoie ton pc avec
    http://www.mwti.net/download/tools/mwav.exe
    http://www.mwti.net/antivirus/free_utilities.asp

    a executer en mode sans échec et restauration système désactivée afin de pouvoir effectuer un nettoyage complet.
    0
  2. Utilisateur anonyme
     
    hello! :-)


    fix
    :

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing

    Pour les 04 : arrête ces processus 1) ctrl+alt+supp (qui fait appel au gestionnaire des tâches) 2) tu fixes dans l'hijack (suis bien la manip sinon la procédure échouera)

    O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe <--WormS polymorphes
    O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
    O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe <--virus WORM_RBOT.GE

    --------- ----------------- -------------------- ------------------- ------------
    DETAILS :

    serm32.exe <--si le fix échouait - vérifie les occurences et supprime-les dans la base de registre
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.GE&VSect=T

    svxhost.exe <--variantes de worm polymorphes
    même chose que pour l'autre si le fix échoue - tu supprimes toutes les occurences dans la base de registre

    SOPHOS
    W32/Forbot-K
    W32/Rbot-CT
    alias
    * Backdoor.Win32.ForBot.k
    * W32/Sdbot.worm.gen
    * WORM_SDBOT.OU
    http://www.sophos.fr/virusinfo/analyses/w32forbotk.html

    TREND-MICRO
    http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_SDBOT.SR

    ---------------- ------------- --------------- --------------- ---------------------

    1)Tu désactives ta restauration système (
    (Panneau de configuration puis dans Système--> l'onglet Restauration du sytème,-->coche la case Désactiver la Restauration du système sur tous les lecteurs)
    2) tu fixes (ou recherche des occurences dans la BdR si les fix échouent) (démarrer/exécuter : tu tapes : regedit/valide - supprime les occurences selon Trend ou /et Sophos)
    3) tu rebootes (pour vider la mémoire et la restau-sytème)

    4) si ta connex repart - M$ Update (ces worms étaient patchés par M$..) + Mise à jour de ton anti-virus et scan - ensuite on avisera........

    @+

    PS : allège ton système - tu as trop de programmes au démarrage (de la folie!) ne laisse que ton anti-virus - ton pare-feu - ton FAI (démarrer/éxécuter : tu tapes : msconfig/tu valides et décoche pratiquement tous les programmes que tu as en RUN/O4)

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  3. AMIMaN
     
    je te conseille d'utiliser l'anti virus en ligne de secuser.com ! il est trés utilise et efface la plus part des virus!!
    0
  4. Utilisateur anonyme
     
    hello! tt le monde :-)

    désolée, je n'avais pas vu vos réponses (faut dire que la mienne est plutôt longue lolll )

    @+ Enjoy! ^_^

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. CLAUDIA
     
    Génial,

    merci à tous et toutes...

    @++++
    0
  7. Utilisateur anonyme
     
    Re,
    c'est réglé? (si tu as désactivé la restauration système et que ton pc est clean - n'oublie pas de la réactiver)

    :-)

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0