Aller au contenu

Cyril7000

Membres
  • Compteur de contenus

    29
  • Inscription

  • Dernière visite

Messages posté(e)s par Cyril7000

  1. Je viens de redémarrer en mode normal et à peine le bureau chargé, la notification de NAV apparaît avec le même virus et le fichier "msdirectx.sys" dans "c:\documents and setting\cyril".

     

    J'ai effectivement NORTON ANTIVIRUS CORPORATE version Home User. A côté, j'ai Spybot S&D 1.4, Ad-Aware 1.06 et Microsoft Antispyware.

     

    Voici le nouveau rapport Hijackthis :

     

    Logfile of HijackThis v1.99.1

    Scan saved at 23:16:12, on 16/06/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

     

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Program Files\Ahead\InCD\InCDsrv.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\PROGRA~1\SYMANT~1\DefWatch.exe

    C:\WINDOWS\system32\cba\pds.exe

    C:\PROGRA~1\SYMANT~1\Rtvscan.exe

    C:\WINDOWS\system32\cba\xfr.exe

    C:\WINDOWS\system32\MsgSys.EXE

    C:\WINDOWS\system32\wuauclt.exe

    C:\WINDOWS\Explorer.exe

    C:\WINDOWS\system32\green.exe

    C:\PROGRA~1\SYMANT~1\vptray.exe

    C:\WINDOWS\system32\RunDll32.exe

    C:\WINDOWS\system32\VTTimer.exe

    C:\Program Files\Microsoft IntelliPoint\point32.exe

    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

    C:\Program Files\QuickTime\qttask.exe

    C:\Program Files\Ahead\InCD\InCD.exe

    C:\Program Files\iTunes\iTunesHelper.exe

    C:\Program Files\Microsoft IntelliType Pro\type32.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Program Files\Messenger\msmsgs.exe

    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    C:\Program Files\iPod\bin\iPodService.exe

    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

    C:\Program Files\Hijackthis\HijackThis.exe

     

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

    F2 - REG:system.ini: Shell=Explorer.exe green.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe

    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

    O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"

    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096402596986

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\DefWatch.exe

    O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

    O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe

    O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe

    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\Rtvscan.exe

  2. Les nettoyage est terminé.

     

    Concernant les 4 fichiers, je viens d'effacer les 2 premiers.

    Pour "green.exe-205DB183.pf", il se situe dans c:\windows\prefetch. La date de création est le 16/06/05 à 12:41, idem pour la date de modification.

    Pour "lssrv.exe", il ne le trouve pas.

     

    Quand à l'opération "vidage des zones de quarantaine éventuelles", elle s'opère avec ecleaner ou est-elle manuelle ? Si manuelle, comment faut-il procéder ?

  3. Me revoilà.

     

    Merci pour l'aide apportée.

     

    Je reste connecté car en fait je suis sur un deuxième ordinateur qui lui n'a pas été infecté (touchons du bois pour que ça n'arrive pas) alors qu'ils étaient en réseau derrière un routeur. J'ai déconnecté l'ordinateur infecté.

     

    Le nettoyage du disque est en cours. Dès la fin, je te communiques les dates des 2 fichiers avant de les effacer.

     

    D'autre part, les 2 "ecleaner" sont-ils à faire en ligne ou sont-ils à télécharger ? S'ils sont à telecharger, est-il possible de les transférer avec une clé USB ?

  4. Bonjour à tous,

     

    Mon ordinateur est également contaminé par ce virus. NAV Corporate me le détecte dès "l'arrivée" sur le bureau. Cependant en faisant un scan, il ne peut pas me l'éradiquer. Spybot S&D 1.4 et Ad-Aware 1.06 non plus d'ailleurs.

     

    Le fichier en question est c:\Documents and Settings\Cyril\msdirectx.sys. Ce fichier est invisible à cet emplacement (j'ai coché l'option pour afficher les fichiers cachés). En revanche, si je démarre en mode sans échec, je le vois dans ce répertoire et je peux le supprimer... mais en quelques secondes, il revient.

     

    Visiblement, le virus bloque mon accès internet au bout de quelques secondes ou minutes après le démarrage de Windows. Il est donc impossible de surfer ou de faire des analyses en ligne. J'ai donc déconnecté le PC "malade" de mon réseau domestique.

     

    J'ai fait une analyse avec Hijackthis 1.99.1 mais je ne sais pas déchiffrer le log. J'ai comparé avec les autres membres ayant le même souci pour voir s'il y a des lignes communes à effacer mais je n'ai rien trouvé de commun. Pourriez-vous m'aider à le déchiffrer et me dire quelle(s) ligne(s) effacée(s) ? (J'ai un doute sur la 2è mais je n'ai rien tenté).

     

    Merci d'avance.

     

     

    Logfile of HijackThis v1.99.1

    Scan saved at 23:03:20, on 15/06/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

     

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\Explorer.exe

    C:\WINDOWS\system32\green.exe

    C:\Documents and Settings\Cyril\Mes documents\Téléchargement internet\hijackthis\HijackThis.exe

     

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

    F2 - REG:system.ini: Shell=Explorer.exe green.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe

    O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe

    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

    O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [REGRUN] C:\WINDOWS\j.exe

    O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

    O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"

    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096402596986

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\DefWatch.exe

    O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

    O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe

    O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe

    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\Rtvscan.exe

×
×
  • Créer...