casier

non, pas d'exe corompu depuis longtemps, seulement comme je te disais, bitdefender me préviens régulièrement d'une attaque virale Win32.Gael.3666 bloquée (et c'est souvent un install.exe qui vient de se créer) !

bon, c'est fait et RAS, y'a rien dans la fenetre virus log. J'ai pas scanné toutes les partitions de données, sinon ça aurait pris la journée, mais c: (et un autre partition) semble nickel... je commence vraiment à désespérer, et je suis désormais convaincu que le problème viens de l'exterieur, mon ordi doit se faire attaquer et se virus doit s'incrtuster régulièrement...

voici le rapport de ton logiciel : "Silent Runners.vbs", revision 44, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Skype" = ""C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "AdslTaskBar" = "rundll32.exe stmctrl.dll,TaskBar" [MS] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "Smapp" = "C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" ["Analog Devices, Inc."] "RivaTunerStartupDaemon" = ""C:\Program Files\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /S" [empty string] "Look 'n' Stop" = ""C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto" ["Soft4Ever"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\ {++} "Flag" = 2 HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration" -> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu" -> {HKLM...CLSID} = "Acrobat Elements Context Menu" \InProcServer32\(Default) = "D:\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" [file not found] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\Winrar\rarext.dll" [null data] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" -> {HKLM...CLSID} = "Acrobat Elements Context Menu" \InProcServer32\(Default) = "D:\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" [file not found] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\Winrar\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\Winrar\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\Winrar\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "(Aucun)" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Boss" & "All Users" startup folders: ------------------------------------------------------ C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage "Wireless Configuration Utility HW.32" -> shortcut to: "C:\WINDOWS\Installer\{BDC88E5A-F47B-4314-AB38-994592E32C95}\NewShortcut1.exe" ["InstallShield Software Corp."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/" Missing lines (compared with English-language version): [strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ SiS WirelessLan Service, SiSWLSvc, "C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe" [null data] SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."] WinFast® Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" [file not found] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 20 seconds, including 1 second for message boxes) re, bon alors pour les pare-feu j'ai essayé bcp de chose : * Look n stop : me masque ou ferme les ports, aucun s'ouvert, MAIS cet idiot me filtre aucune application (ce n'est pas normal, il me demande pas si j'autorise untel à se connecter etc !! pourquoi ? mystère, d'autant qu'il est sensé faire, c'est la donction "filtre logiciel") * Outpost : lui il me surveille bien les logiciels mais me laisse deux ports ouverts, toujours les mêmes...

et voilà le rapport panda: Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@advertising[1].txt Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@atdmt[2].txt Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@bluestreak[2].txt Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@doubleclick[1].txt Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@fastclick[1].txt Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@fe.lea.lycos[1].txt Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@media.fastclick[1].txt Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@xiti[1].txt Virus Eventuel. No Désinfecté G:\ebooks\install.exe on peut y voir le fichier type dont je parlais, ce fameux install.exe qui se crée un peu n'importe quand n'importe où, que bit defender bloque quand il se crée....Quant à ces cookies, ils reviennent tout le temps...tout cela doit être dû à mes ports ouvert à mon avis, ou alors ce virus est vraiment une cochonnerie planquée dans des endroits de la mémoire ou du mbr, que sais-je... nota : si je fais une recherche du fichier "install.exe", j'en trouve presque une dizaine sur le pc, que le scan n'a pas jugé dangereux, mais ce sont bien les même fichiers parasites. et dans le autorun.inf, qu'est-ce qu'on lit : [autorun]open=install.exeicon=install.exe,0 !!! C'est pour ça que bitdefender s'ecxite comme ça. Mais comment ces trucs peuvent-ils se créer et se lancer tout seul nom de dieu !!!!

salut à tous, installer kerio ou zonealarm je veux bien, mais aucun deux deux ne passe sur ma bécane, impossible de savoir pourquoi...kerio = 100% processeur et ZA je sais plus... oui, les deux ports ouverts ça sent mauvais je m'en doute... pour les process, je les guette tout le temps avec proceXP qui est très bien, mais, comme le confirme Hijackthis, y'a pas de souçis de ce coté là, les process en cours sont légitimes...

alors déjà merci pour ton aide. Ensuite, voici les résultats du scanner de ports après les conseil de tornado : c'est exactement la même chose qu'avant zebprotect, j'ai tous les ports fermés sauf le 80 et 443 ouverts et aucun port masqué. Pour le scan, ça va prendre du temps, je vous tiendai au courant !

un post clair = une réponse efficace je n'ai pas la restauration système d'activée j'ai lancé le truc, mais je ne peux pas redemarrerpour le moment (scan en cours), je te dis ça dès que je peux... Logfile of HijackThis v1.99.1 Scan saved at 02:03:13, on 17/04/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Softwin\BitDefender9\bdoesrv.exe C:\progra~1\softwin\bitdef~1\bdnagent.exe C:\progra~1\softwin\bitdef~1\bdswitch.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe C:\Program Files\Softwin\BitDefender9\vsserv.exe c:\progra~1\softwin\bitdef~1\bdmcon.exe C:\Documents and Settings\Boss\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [bDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [bDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe" O4 - HKLM\..\Run: [bDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe" O4 - HKLM\..\Run: [bDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe" O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /S O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ? O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://D:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1136823836359 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5BC76A69-72E4-4662-ABCF-0023E6575FA2}: NameServer = 86.64.145.143 84.103.237.143 O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: WinFast® Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) voilà PS : et allez, durant un scan avec l'utilitaire windows, bitdefender qui s'affolle et qui me dit qu'il trouve un virus dans F:\recycler alors qu'il n'y a rien du tout dedans (même pas en fichier caché) et en plus l'utilitaire windows ne bronche pas...y'a vraiment un truc qui cloche quand même, aucune trace de virus et pourtant des alertes régulièrement...

salut à tous, je sais que ce sujet à été abordé, mais après moultes recherches et essais peu fructueux, je fais appel à ceux d'entre vous qui connaissent bien le sujet. Il y a quelques mois, je me suis fait attaquer par une saloperie appelée, entre autre, tenga ou Win32.Gael.3666 qui bousille tous les exe d'un DD petit à petit, jusque là vous connaissez... Grace au scan en ligne de secuser, qui est le seul à arriver à réparer les exe infestés à ma connaissance, je m'en suis presque sorti mais pas tout à fait : régulièrement (tous les jours quoi ^^), par exemple pendant je regarde un film avec vlc, en plein milieu bit defender s'excite en disant qu'il a bloqué une attaque du fameux virus et me précise un certain fichier .exe avec un nom à la con (genre install.exe) dans un dossier à la con (genre temp, ou ailleurs, ça dépend), fichier qui bien sur n'avait jamais été là avant ! J'ai essayé de suivre diverses procédures proposées sur les forums, mais rien à faire, le virus semble parti quand soudain il apparait de nouveau comme par enchantement. Tout ceci me conduit à me demander si ce serait pas tout simplement que le virus s'incruste à nouveau sur mon PC tous les jours via des failles réseau (msn, ports ouvert etc ?), parceque je vois pas comment ça peut être autrement. Si vous avez une idée, je suis preneur. J'ai un log Hijackthis si besoin mais j'ai pas l'impression qu'il y a quoi que ce soit d'anormal dedans...j'ai winXP SP2 et bitdenfender 9.5 pro. merci ! PS: j'ai fais un scan de mes ports par zebulon et il se trouve que tous mes ports sont soit ouverts (y'en a deux) soit fermés, mais aucun n'est masqué ?!! Super mon pare-feu bitdefender ???