Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Ca sent le méchant virus...

woody59

Par woody59
dans Internet & Réseaux

 Partager

Messages recommandés

woody59 Extrem Member

woody59

Posté(e)
Posté(e) (modifié)

Salut chers amis...

 

Voilà, je suis actuellement entrain de formater un pc dont la configuration est :

AMD (XP) 2400+ 1.99 ghz 256 ram

OS win XP

 

J'ai bien tout installé les antivirus (AVG) et firewall (ZA) et service pack 1 et autre MàJ de winupdate

 

Lorsque je rebboot, et que autoconnect lance la connection Internet (ADSL), sans même que je lance Explorer... la machine LANCE ELLE MEME INTERNET et part direct sur la page suivante:

 

http://www.angelfire.com/co4/nubnub/error.html

et m'affiche une de ces fenetre de m... d'acceptation (faire toujours confiance au site.... blabla bla) de "MEDIA TICKET.... jsais pas quoi* que je m'empresse de refuser.

 

Rien à faire elle revient sans cesse à peine je la refuse.... Elle m'affiche ensuite une petite fenetre disant "YOU MUST CLICK YES TO VIEW THIS PAGE".

 

Meme en la fermant (par la croix) le tout POPUOP sans cesse.

 

J'ai fait tourner l'antivirus AVG + SECUSER. Les deux me disent WORM/PADOBOT.Q et le virent. Mais ca revient au prochain reboot...

 

Que faire ? :P

 

Merci

 

P.S. EN PLUS LE PC EST EXTREMEMENT LENT malgrè, je pense, un matoss pas trop naze, non ?

Modifié par woody59
Lien vers le commentaire
Partager sur d’autres sites

woody59 Extrem Member

woody59

Posté(e)
  • Auteur
Posté(e) (modifié)

A tout hasard voici ce que donne HIJACK THIS :

 

Logfile of HijackThis v1.97.7

Scan saved at 03:14:36, on 09.07.2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG6\avgserv.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\WINDOWS\System32\rundll32.exe

C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\WINDOWS\System32\taskmngrs.exe

C:\WINDOWS\System32\wuamgrd.exe

C:\WINDOWS\system32\mmc.exe

C:\WINDOWS\system32\DfrgNtfs.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\rundll32.exe

C:\Documents and Settings\PUTZI\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [Microsoft Update Machine] taskmngrs.exe

O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\RunServices: [Microsoft Update Machine] taskmngrs.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - HKCU\..\Run: [Microsoft Update Machine] taskmngrs.exe

O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8176.1161689815

O17 - HKLM\System\CCS\Services\Tcpip\..\{B9FEA5C5-497C-4D96-ABF3-A7C421CDD972}: NameServer = 195.186.4.108 195.186.1.109

 

et SECUSER vient de trouver le resultat suivant :

 

BAT.SASSER A (non cleanable) c:\windows\sytem32\cmd.ttp

WORM REBOT.APR (non cleanable) c:\windows\sytem32\isac.exe

WORN REBOT.bn (CannotAccess)c:\windows\sytem32\taskmngrs.exe

 

Merci

Modifié par woody59
Lien vers le commentaire
Partager sur d’autres sites
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

salut,

 

alors a supprimer par msconfig

C:\WINDOWS\System32\taskmngrs.exe

C:\WINDOWS\System32\wuamgrd.exe

C:\WINDOWS\system32\mmc.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\rundll32.exe

 

et a supprimer par hijackthis en faisant fix checked

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Microsoft Update Machine] taskmngrs.exe

O4 - HKLM\..\RunServices: [Microsoft Update Machine] taskmngrs.exe

O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe

O4 - HKCU\..\Run: [Microsoft Update Machine] taskmngrs.exe

O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe

 

ensuite tu redemarres en mode sans echec, et tu supprimes ces fichiers

C:\WINDOWS\System32\taskmngrs.exe

C:\WINDOWS\System32\wuamgrd.exe

C:\WINDOWS\system32\mmc.exe

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...