Spys + Virus

[Flint82]

Salut a tous.

 

 

J'ai un pc dans la misère (un pote a moi aatire les merdes sur son PC) chez moi et je sais pas par quel bout le prendre.

 

Dessus il y avait sasser et j'ai tout fait pour le virer, maintenant il est clean.

 

Ensuite il est bourré de spywares a la c** (cinq processus svchost.exe ...) et dès que je tente de télécharger spybot ou de le lancer, soit le téléchargement (enfin le fichier) est détruit soit l'éxécution de spybot (après installation en mode sans echec) ne s'effectue pas, et spybot est tout simplement "viré" du pc en question.

 

On m'a parlé de Hijack.this mais je ne sais ni ou le trouver, ni m'en servir.

 

Help

 

Le PC ne peut plus désormais se connecter au site windows update non plus, ce qui est très fâcheux pour mettre a jour et combler les failles des produits M$.

[ipl_001]

Bonjour Flint82, bonjour à tous,

 

Tant que tu peux te connecter à Internet, lance un scan AntiVirus sur http://www.secuser.com/antivirus/ parce que ton truc sent le virus... et même un dur !

 

Dans ma signature, tu as un certain nombre de liens intéressants !

 

Bonne chance !

[Flint82]

Merci et désolé pour le sujet en doublette, mon browser est parti en cacahuètes au moment de valider (il m'a affiché un message comme quoi l'adresse mail était pas valide etc... un truc de dingue) donc j'ai du cliqué une fois de trop , pensant que le message était pas validé.

 

Je pensais aussi au virus.

 

Pour spybot, j'ai un souci sur un autre pc, je peux l'installer, le lancer (avec un joli message parlant d'un certain ad-aware capricieux ) mais dès que je veux le mettre a jour, ca prend trois ans quel que soit le serveur de maj que je choisisse et il a une facheuse tendance a planter a ce moment la (cette application ne répond pas gna gna gni ...).

 

Je vais tester ce que tu m'as proposé pour la bouse contaminée de mon collègue !

 

Encore merci

[Flint82]

Voici ce que trouve hijack sur mon PC (déja je vois plusieurs Svchost.exe, est ce normal car en ce moment c la mode a "je copie le nom d'un processus windows pour gentiement m'installer") :

 

Logfile of HijackThis v1.97.7

Scan saved at 11:39:18, on 04/05/2004

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Messenger Plus! 2\MsgPlus.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\k9 anti spam\K9.exe

E:\Program Files\emule transgénique\emule\emule.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Winamp\winamp.exe

C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE

C:\Program Files\MYweb4net\MYweb4net.exe

C:\Program Files\Internet Explorer\iexplore.exe

E:\downloads\Virus\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clubic.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\3.bin\MYBAR.DLL

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\3.bin\MYBAR.DLL

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Raccourci vers K9.exe.lnk = C:\k9 anti spam\K9.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet 2004\\Parser.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet 2004\\Wizard.html

O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet 2004\\AddUrl.html

O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...tor/sw-intl.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30032a57596419...RdxIE601_fr.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033...all/xscan53.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8045.6212962963

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{93AD0E4C-346A-46D0-88B1-CA1992FE676D}: NameServer = 192.168.1.1

 

Dois je faire le ménach et si oui dans quelles lignes ?

 

Merfi beaucoup