Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Virus dans mon PC

Mistu

Par Mistu
dans Analyses et éradication malwares

 Partager

Messages recommandés

Mistu Power Member

Mistu

Posté(e)
  • Auteur
Posté(e) (modifié)

bon bin j'ai fait autrement (je sais, je suis un mauvais élève :P )

 

donc j'ai lancer Filemon pour qu'il me montre tous les fichiers qui s'execute ou pas en tache de fond.

 

j'ai recliquer sur "Restauration du Systeme" et BONG!!!! la meme fenetre

 

"Restauration du système ne peut pas protéger votre ordinateur. Faites redémarrer votre ordinateur, puis relancez Restauration du système"

 

je suis aller voir sur Filemon l'a ou ça passait pas et j'ai remarquer qu'il ne trouvait pas un fichier sur un répertoire c1 soit dans Windows, soit dans System32 avec un dll dedans qui a comme nom "srsvc.dll"

 

ce fichier existant sur System32, j'ai donc créer un répertoir c1 en mettant ce dll dedans... soit

 

c:\windows\c1\windows\system32\srsvc.dll

 

je reclique sur "Restauration du Systeme" et BONG!!!! encore cette foutus fenetre

 

"Restauration du système ne peut pas protéger votre ordinateur. Faites redémarrer votre ordinateur, puis relancez Restauration du système"

 

cette fois je vais sur services.msc(je l'execute)

et je remarque que le "service restauration du systeme" est en état Démarré :P (c'est nouveau ça!?)

donc je clicque sur "redémarrer le service"

 

et miracle, ça marche !!!! :P

 

bon, j'ai fait un manip a la barbare mais j'ai ma restauration du systeme de retour.... enfin!!!!

 

 

voilà, manque plus que je retrouve ma reconnaissance auto des lecteurs DVD, CD, clé usb (en clair il affiche plus la fenetre qui me propose de voir le contenu en fichier audio, video, repertoire simple, etc... mais en ouvrant un explorateur, je vois bien le contenu) et c'est enfin fini!!! :P du moins j'éspère

 

 

 

sinon le dernier rapport Hjt

Logfile of HijackThis v1.98.2

Scan saved at 21:06:07, on 06/07/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\taskswitch.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\PortableFirefox\firefox\firefox.exe

C:\Program Files\WinCommander\Wincmd32.exe

C:\Program Files\CWShredder\HijackThis1982.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

Modifié par Mistu
Mistu Power Member

Mistu

Posté(e)
  • Auteur
Posté(e) (modifié)

plus rien en faite, j'ai resolu mon dernier probleme hier soir (l'auto execution des lecteurs)

 

en faite, ça m'a pris un certain temps pour que tous mes lecteurs soit de nouveau auto executable mais j'ai trouvé "la perle" qui le fait parfaitement.

 

il faut tout simplement lancer un logiciel : Autofix

 

ce petit logiciel, qui ne marche que sous Windows XP, permet de fixer les lecteurs en plusieurs etapes ou il faut a chaque fois relancer son ordi a chacune d'elle mais ça marche nickel. :P

 

voilà, encore un grand merci angelique pour ton aide et ta patience :P

 

sinon en ce qui concerne le dossier Qoobox et Combofix, j'en fait quoi maintenant?! je desintall comment(si c'est plus necessaire) ?

 

 

sinon voici mon log avec la version de HJT que tu me propose

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:39:39, on 07/07/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\taskswitch.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\WinCommander\Wincmd32.exe

C:\Program Files\PortableFirefox\firefox\firefox.exe

C:\Program Files\CWShredder\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Avertissement AlerterALG (AlerterALG) - Unknown owner - C:\WINDOWS\TEMP\mvgnbfguoi.exe (file missing)

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 3020 bytes

Modifié par Mistu
angelique Devil Member !

angelique

Posté(e)
Posté(e)

ok pour autoFix :P

 

j'aurais toujours pas vu les scans antivir et MBAM....passons ça t'interresse pas...je n'insiste pas.

 

.*´¨ )

,.•´¸.•*¨) ¸.•*¨)

(¸.•´ : (¸.•´ : (´¸.•*´¯`*•

Finir le nettoyage :

- Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!):

 

telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

Patiente le temp du nettoyage

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé.

 

• naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html

 

ces captures sont de la version 3.0.11 , c'est quelques peu different depuis la 3.5

 

1237009714-jsff.jpg

http://imagesup.org/images/1237009714-jsff.jpg

 

• Configurer FireFox pour vider cache, cookies ...... à sa fermeture:

 

1237009855-clrff.jpg

http://imagesup.org/images/1237009855-clrff.jpg

 

• Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php

 

- Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924

 

• desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide:

 

ComboFix /u

 

supprime son dossier restant apres disparition de l'icone de combofix de ton bureau --> c:\combofix

 

Sauvegarde de la ruche systeme

 

Pratique en cas de ce type d'erreur au demarrage (http://www.vista-xp.fr/forum/topic183.html ) et rapide à restaurer en console de recuperation: http://www.malekal.com/console_recuperatio...#mozTocId862261

http://www.malekal.com/tutorial_ERUNT.php#mozTocId955164

 

• telecharge ERUNT (ERDNT):

http://www.derfisch.de/lars/erunt.zip

http://www.aumha.org/downloads/erunt.zip

http://dundats.mvps.org/Files/erunt.zip

 

et dezippe le ,renomme le dossier par ERDNT, coupe_colle le dossier dezippé à cet endroit et pas ailleurs: c:\windows\ , un ancien dossier de ComboFix vide apres désinstallation est toujours présent à cet endroit,tu le remplaces par le nouveau que tu viens de dezipper, puis double clic sur ERUNT comme sur la capture:

 

1240900435-erdnt1.jpg

http://imagesup.org/images/1240900435-erdnt1.jpg

 

* clic ok et dans la fenetre qui apparait comme sur la capture , spécifie le chemin c:\windows\ERDNT en "backup to", pas ailleurs!, un nouveau dossier doit alors être crée, clic ok.

 

1240900561-erdnt2.jpg

http://imagesup.org/images/1240900561-erdnt2.jpg

 

*la sauvegarde de la ruche systeme s'opère alors , un dossier de sauvegarde en date de création apparrait en c:\windows\ERDNT

 

1240900791-erdnt3.jpg

http://imagesup.org/images/1240900791-erdnt3.jpg

 

*ferme une fois terminé la fenêtre.

.*´¨ )

,.•´¸.•*¨) ¸.•*¨)

(¸.•´ : (¸.•´ : (´¸.•*´¯`*•

 

Bye \o_

Mistu Power Member

Mistu

Posté(e)
  • Auteur
Posté(e)

Ouah, il y a du boulot là :P :P

 

 

sinon ce machin dans Hjthis

 

O23 - Service: Avertissement AlerterALG (AlerterALG) - Unknown owner - C:\WINDOWS\TEMP\mvgnbfguoi.exe (file missing)

 

ça m'a la'ir d'etre un reste de trojan ou je sais pas quoi... et j'arrive pas a viré cette ligne. c'est grave si elle est toujours presente dans le log?!

angelique Devil Member !

angelique

Posté(e)
Posté(e)

ouai c'est un reste de service que j'avais incorporé dans le CFScript là ,

http://forum.zebulon.fr/plusieurs-probleme...34#entry1398434

 

Mais t'avais pas posté le rapport.....

 

t'as qu'a utiliser HijackThis pour le virer , open the misc tools section\delete a NT service et dans la fenetre qui s'ouvre tu copies_colles : Avertissement AlerterALG

 

et clic ok

 

ou bien via executer---> services.msc

 

tu double clic sur cette ligne de service Avertissement AlerterALG , tu choisis "type de demarrage" \desactivé \clic appliquer et arreter .

 

puis executer---> regedit et va supprimer l'instance AlerterALG..truc sous la branche :

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

  • Tonton a modifié le titre en [Résolu] Virus dans mon PC

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...