VIRUS ???
CLAUDIA
-
Utilisateur anonyme -
Utilisateur anonyme -
Je pense que mon portable est contaminé par un virus.
Problèmes :
- plus d'accès à Norton (le fenêtre s'ouvre et se referme automatiquement) sauf en mode sans échec (donc sans mise à jour)
- Plus d'accès au gestionnaire des tâches (même problème)
- Hijackthis même problème
Spybot et Ad-aware sont à jour. Après scan et élimination des fichiers trouvés, le problème subsiste.
voivi une analyse Hijackthis en mode sans échec :
Pourriez-vous m'aider ???
Logfile of HijackThis v1.98.2
Scan saved at 09:51:06, on 08/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Claudia\Mes documents\securite\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOCUME~1\Claudia\MESDOC~1\securite\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [powerman] "C:\WINDOWS\System32\powerman.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\Run: [Microsoft World Wide Web] msnmsgr.exe
O4 - HKLM\..\Run: [ccApp.exe] ccApp.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Remote Procedure Calls] mswinrpc.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
Problèmes :
- plus d'accès à Norton (le fenêtre s'ouvre et se referme automatiquement) sauf en mode sans échec (donc sans mise à jour)
- Plus d'accès au gestionnaire des tâches (même problème)
- Hijackthis même problème
Spybot et Ad-aware sont à jour. Après scan et élimination des fichiers trouvés, le problème subsiste.
voivi une analyse Hijackthis en mode sans échec :
Pourriez-vous m'aider ???
Logfile of HijackThis v1.98.2
Scan saved at 09:51:06, on 08/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Claudia\Mes documents\securite\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOCUME~1\Claudia\MESDOC~1\securite\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [powerman] "C:\WINDOWS\System32\powerman.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\Run: [Microsoft World Wide Web] msnmsgr.exe
O4 - HKLM\..\Run: [ccApp.exe] ccApp.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Remote Procedure Calls] mswinrpc.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
A voir également:
- VIRUS ???
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
6 réponses
le résultat de ton log hijackthis ici ==>
http://hijackthis.de/logfiles/fe1884ac8f27c15a0636080b362385b5.html
pour ton problème de virus==>
pc télécharge eScan Antivirus Toolkit Utility
et nettoie ton pc avec
http://www.mwti.net/download/tools/mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
a executer en mode sans échec et restauration système désactivée afin de pouvoir effectuer un nettoyage complet.
http://hijackthis.de/logfiles/fe1884ac8f27c15a0636080b362385b5.html
pour ton problème de virus==>
pc télécharge eScan Antivirus Toolkit Utility
et nettoie ton pc avec
http://www.mwti.net/download/tools/mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
a executer en mode sans échec et restauration système désactivée afin de pouvoir effectuer un nettoyage complet.
hello! :-)
fix :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
Pour les 04 : arrête ces processus 1) ctrl+alt+supp (qui fait appel au gestionnaire des tâches) 2) tu fixes dans l'hijack (suis bien la manip sinon la procédure échouera)
O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe <--WormS polymorphes
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe <--virus WORM_RBOT.GE
--------- ----------------- -------------------- ------------------- ------------
DETAILS :
serm32.exe <--si le fix échouait - vérifie les occurences et supprime-les dans la base de registre
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.GE&VSect=T
svxhost.exe <--variantes de worm polymorphes
même chose que pour l'autre si le fix échoue - tu supprimes toutes les occurences dans la base de registre
SOPHOS
W32/Forbot-K
W32/Rbot-CT
alias
* Backdoor.Win32.ForBot.k
* W32/Sdbot.worm.gen
* WORM_SDBOT.OU
http://www.sophos.fr/virusinfo/analyses/w32forbotk.html
TREND-MICRO
http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_SDBOT.SR
---------------- ------------- --------------- --------------- ---------------------
1)Tu désactives ta restauration système (
(Panneau de configuration puis dans Système--> l'onglet Restauration du sytème,-->coche la case Désactiver la Restauration du système sur tous les lecteurs)
2) tu fixes (ou recherche des occurences dans la BdR si les fix échouent) (démarrer/exécuter : tu tapes : regedit/valide - supprime les occurences selon Trend ou /et Sophos)
3) tu rebootes (pour vider la mémoire et la restau-sytème)
4) si ta connex repart - M$ Update (ces worms étaient patchés par M$..) + Mise à jour de ton anti-virus et scan - ensuite on avisera........
@+
PS : allège ton système - tu as trop de programmes au démarrage (de la folie!) ne laisse que ton anti-virus - ton pare-feu - ton FAI (démarrer/éxécuter : tu tapes : msconfig/tu valides et décoche pratiquement tous les programmes que tu as en RUN/O4)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
fix :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
Pour les 04 : arrête ces processus 1) ctrl+alt+supp (qui fait appel au gestionnaire des tâches) 2) tu fixes dans l'hijack (suis bien la manip sinon la procédure échouera)
O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe <--WormS polymorphes
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe <--virus WORM_RBOT.GE
--------- ----------------- -------------------- ------------------- ------------
DETAILS :
serm32.exe <--si le fix échouait - vérifie les occurences et supprime-les dans la base de registre
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.GE&VSect=T
svxhost.exe <--variantes de worm polymorphes
même chose que pour l'autre si le fix échoue - tu supprimes toutes les occurences dans la base de registre
SOPHOS
W32/Forbot-K
W32/Rbot-CT
alias
* Backdoor.Win32.ForBot.k
* W32/Sdbot.worm.gen
* WORM_SDBOT.OU
http://www.sophos.fr/virusinfo/analyses/w32forbotk.html
TREND-MICRO
http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_SDBOT.SR
---------------- ------------- --------------- --------------- ---------------------
1)Tu désactives ta restauration système (
(Panneau de configuration puis dans Système--> l'onglet Restauration du sytème,-->coche la case Désactiver la Restauration du système sur tous les lecteurs)
2) tu fixes (ou recherche des occurences dans la BdR si les fix échouent) (démarrer/exécuter : tu tapes : regedit/valide - supprime les occurences selon Trend ou /et Sophos)
3) tu rebootes (pour vider la mémoire et la restau-sytème)
4) si ta connex repart - M$ Update (ces worms étaient patchés par M$..) + Mise à jour de ton anti-virus et scan - ensuite on avisera........
@+
PS : allège ton système - tu as trop de programmes au démarrage (de la folie!) ne laisse que ton anti-virus - ton pare-feu - ton FAI (démarrer/éxécuter : tu tapes : msconfig/tu valides et décoche pratiquement tous les programmes que tu as en RUN/O4)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
je te conseille d'utiliser l'anti virus en ligne de secuser.com ! il est trés utilise et efface la plus part des virus!!
hello! tt le monde :-)
désolée, je n'avais pas vu vos réponses (faut dire que la mienne est plutôt longue lolll )
@+ Enjoy! ^_^
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
désolée, je n'avais pas vu vos réponses (faut dire que la mienne est plutôt longue lolll )
@+ Enjoy! ^_^
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
