Prob virus

[Ibiscus]

voilà le virus que le scan a détecté ,

 

Virus "BKDR PRORAT.L"

 

BKDR PRORAT.L c:\windows\systeme\sservice.exe

BKDR PRORAT.L C:\WINDOWS\systeme32\fservice.exe

BKDR PRORAT.L C: \WINDOWS\services.exe

 

et "BKDR IRCONTACT.C" dans le dossier compréssé contaminé.

 

Que dois je faire?

Merci

 

PS: j'ai déjà lu les méssages en parlant, mais ce n'est pas dans les memes fichiers, et j'aurais besoin d'une explication détaillée.

[megataupe]

Salut. Un élément de réponse ici :

 

http://forum.zebulon.fr/index.php?showtopic=51463

 

tiens nous au courant si ça ne marche pas.

[Ibiscus]

Salut,

 

J'ai svchost mais sans double extension.

 

1) Terminer le (ou les processus) svchost.exe.exe qui doit être en "user" dans le gestionnaire de tâche

 

Comment je fais

 

Merci

[queruak]

Bonjour à tous,

 

Poste un log Hijackthis,

Telécharges HijackThis d'ici:

http://telechargement.zebulon.fr/138-HijackThis-1.98.2.html

L'installer dans un répertoire spécifique(Pas sur le bureau,ni dans le repertoire Temp).

Tu lances hijackthis.Exe.Tu le mets plein écran.

Tu cliques sur SCAN. Tu cliques sur SAVE LOG. Tu cliques sur ENREGISTRER.

Il t'ouvre avec le bloc notes une fenêtre Hijackthis.log.Tu cliques dans la fenêtre du bloc notes.

Tu fais Edition>>Sélectionner tout, puis Edition>>Copier (ou CTRL+C), tu vas dans ton message réponse sur le forum et tu fais CTRL+V (Coller).

[megataupe]

Clic droit à coté de l'horloge dans le systray, ouvrir gestionnaire des tâches, onglet processus, repérer le svchost.exe.exe s'il est présent, clic gauche dessus et cliquer sur terminer le processus. Si tu n'as pas svchost.exe.exe, tu peux essayer un scan antivirus en ligne :

 

http://perso.wanadoo.fr/herve.duchillier/antvir.htm

[queruak]

Bonsoir ibiscus,bonsoir megataupe,bonsoir à tous,

 

Le probleme est que ibiscus est face à deux virus:

 

-BKDR IRCONTACT.C,qui donne ceci C:\WINDOWS\SYSTEM32\svchost.exe.exe

(un svchost avec double extension exe)

 

et

 

-BKDR PRORAT,qui peut ajouter les entrés suivantes:

%System%\Main.exe

%System%\Loader.exe

%System%\Msmsg.exe

%System%\Winserv.dll

%System%\Fservice.exe

%System%\Sservice.exe

%Windir%\Winlogon.exe

 

%System%--->C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ou C:\Windows\System32 (Windows XP).

 

 

%Windir% ---> C:\Windows ou C:\Winnt

 

Seul un rapport Hijackthis fera l'etat des lieux.

 

a+++

[Ibiscus]

Bonsoir à tous et merci.

Voili voilou Molaire,

 

Logfile of HijackThis v1.98.2

Scan saved at 20:38:51, on 30/10/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\GEARSec.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\services.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\Program Files\Messenger Plus! 3\MsgPlus.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\WINDOWS\System32\dllhost.exe

H:\eMule\emule.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\alain\Mes documents\Telechargé\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://olweb.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [eMuleAutoStart] H:\eMule\emule.exe -AutoStart

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/Common/npwwg.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {ABB08127-7417-11D4-8566-00500448008D} (Chat Class) - http://downloads.winwise.fr/Common/npchatlax.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{53839B51-AABC-400F-BB11-A3DF1D56C11B}: NameServer = 80.10.246.1 80.10.246.132

O17 - HKLM\System\CS1\Services\Tcpip\..\{53839B51-AABC-400F-BB11-A3DF1D56C11B}: NameServer = 80.10.246.1 80.10.246.132

[Ibiscus]

Clic droit à coté de l'horloge dans le systray, ouvrir gestionnaire des tâches, onglet processus, repérer le svchost.exe.exe s'il est présent, clic gauche dessus et cliquer sur terminer le processus. Si tu n'as pas svchost.exe.exe, tu peux essayer un scan antivirus en ligne :

 

http://perso.wanadoo.fr/herve.duchillier/antvir.htm

415059[/snapback]

 

Je le retrouve 5 fois (svchost.exe)

Je le fait sur tous?

Gros merci à tous de m'aider

[queruak]

Rebonsoir,

 

Tout d'abord,tu dois désinstaller Messenger Plus via Ajout/suppression des programmes.

 

 

1.Lance Hijackthis,scan,cohe puis "Fixcheked" les lignes en gras ci-dessous:

Toutes les fenetres Internet Explorer,Outlook Express etant fermées.

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://olweb.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [eMuleAutoStart] H:\eMule\emule.exe -AutoStart

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/Common/npwwg.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {ABB08127-7417-11D4-8566-00500448008D} (Chat Class) - http://downloads.winwise.fr/Common/npchatlax.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{53839B51-AABC-400F-BB11-A3DF1D56C11B}: NameServer = 80.10.246.1 80.10.246.132

O17 - HKLM\System\CS1\Services\Tcpip\..\{53839B51-AABC-400F-BB11-A3DF1D56C11B}: NameServer = 80.10.246.1 80.10.246.132

 

2.Redemarre en mode sans echec,affiche tous les fichiers

Depuis l'explorateur de Windows,

Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

 

Tu rétabliras les parametres par defaut apres les corrections.

 

2.1.Supprime les fichiers suivants:

 

C--->WINDOWS--->system32--->fservice.exe

 

C--->WINDOWS--->services.exe

 

3.-Ouvre Poste de travail-->Clic droit sur C-->Proprietes-->Nettoyage du disque-->Coches toutes les cases--->OK--oui

 

4.Redemarre,et continue par les étapes suivantes:

 

4.1.Refais un scan en ligne ici:

HouseCall de Trend Micro sur http://www.secuser.com/antivirus/

- clique sur Clean pour toutes les lignes

- clique sur Delete pour les "Uncleanable"

 

4.2.Surtout faire les mises à jour sur Windows Update,Le système d'exploitation et le navigateur doivent être parfaitement à jour de leurs Services Packs/Service Releases et de leurs mises à jour critiques.

http://windowsupdate.microsoft.com/

tu dois savoir que ces mises à jour sont IMPERATIVES.

ton systeme et ton navigateur ne sont pas à jour:

Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

5.Une fois toutes ces opérations terminées,poster un nouveau log Hijackthis.

 

a+++

Modifié le 30 octobre 2004 par molaire

[Ibiscus]

OK je fais tout ca

merci a+

 

PS: pourquoi messenger plus?

Modifié le 30 octobre 2004 par Ibiscus