Prob virus

[Ibiscus]

Bon ben c'est toujours pareil pourtant j'ai tout fait correctement.

Par contre sur Hijackthis une fois fix cheked la ligne, il n'y a pas d'autre manip. à faire?

[megataupe]

Quand tu as tout fixé, tu enregistres le nouveau log et tu l'envoies. As-tu terminé les processus indiqué avec l'utilitaire cité et as-tu essayé Stinger comme suggéré dans un autre post plus avant ?

[queruak]

Rebonjour,

 

Bon ben c'est toujours pareil pourtant j'ai tout fait correctement.

Par contre sur Hijackthis une fois fix cheked la ligne, il n'y a pas d'autre manip. à faire?

415444[/snapback]

 

Rien d'autre quà supprimer ces fichiers de p....de m....

 

Pour Killbox,essaie ce lien:

http://www.securitywonks.net/killbox/killboxdownload.php

Essie d'utiliser Killbox pour supprimer ces fichiers.

 

Si cela ne marche pas,on procéde autrement:

Tu fais ceci:

ferme toutes les fenêtres ouvertes,

clique sur le bouton Démarrer, sur Exécuter, saisis taskmgr

puis valide.

Dans l'onglet Processus, sélectionne explorer.exe

puis clique sur le bouton Terminer le processus.

Laisse le Gestionnaire de tâches ouvert puis,clique sur le menu fichier-->

nouvelle tache(Executer)-->Ouvrir .

Place toi dans le dossier contenant le fichier

récalcitrant puis saisis DEL nomdufichier.* puis valide.

Ouvre alors de nouveau le Gestionnaire de tâches puis

clique sur le menu Fichier, Nouvelle tâche.

Saisiss explorer.exe puis valide.

 

Tu fais cette manoeuvre pour chaque fichier.

 

Dans ton cas:

nomdufichier.*=

 

C:\WINDOWS\services.exe

 

C:\WINDOWS\system32\fservice.exe

 

C:\windows\systeme\sservice.exe

 

-Puis télécharge Escan:

http://www.mwti.net/antivirus/free_utilities.asp

http://www.mwti.net/download/tools/mwav.exe

-Lance eScan

.. (pour un scan complet)

.. cocher la case "Drive"

.. sélectionner le bouton-radio "Scan All Files"

. cliquer sur le bouton "Scan Clean" (sous Action)

Le scan dure un certain temps... , eScan distingue plusieurs catégories dans les éléments douteux :

.. "No action taken" pour des éléments qu'il reconnait comme n'étant pas des virus

.. "File renamed" pour des éléments douteux

.. "File deleted" pour les malwares.

 

On va y arriver.

 

a++

[Ibiscus]

Salut megataupe,

 

non j'avais pas vu ton message sur stinger je l'essaye tout de suite, par contre j'ai essayé l'autre "tueur", ca n'a pas marché, et il m'a pas l'air de fonctionner.

 

Logfile of HijackThis v1.98.2

Scan saved at 19:22:07, on 31/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\GEARSec.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\a2\a2guard.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\services.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\alain\Mes documents\Telechargé\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://olweb.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{53839B51-AABC-400F-BB11-A3DF1D56C11B}: NameServer = 80.10.246.1 80.10.246.132

O17 - HKLM\System\CS1\Services\Tcpip\..\{53839B51-AABC-400F-BB11-A3DF1D56C11B}: NameServer = 80.10.246.1 80.10.246.132

 

Merci à vous.

[Ibiscus]

Merci Molaire,

 

J'essaye ca ce soir ou demain, je te tiens au courant, merci pour tout.

Dois je dabord essayer stinger?

[queruak]

Rebonsoir,

 

Merci Molaire,

 

J'essaye ca ce soir ou demain, je te tiens au courant, merci pour tout.

Dois je dabord essayer stinger?

415463[/snapback]

 

Oui,tu peux,et le mieux que tu passe aussi Escan.

 

A demain,ne te décourage pas!

 

Bonjour megataupe

 

Edit:Je te conseille d'installer :Antivir,il sera ton antivirus de toujours.

 

http://www.avup.de/personal/en/avwinsfx.exe

 

pour le configurer correctement :

 

=>aller sur le menu options => configuration

 

menu "Search"

dans la fenetre de droite

Boot records

activer = boot record of selected drives

Files

activer = All files

Mémory

activer = begin scan with memory

 

Sous menu Search "Archives"

correspond aux fichiers compréssés (rar,zip, gz, ace, cab, etc..)

dans la fenetre de droite

activer = search Archives

activer = all archives

 

menu Unwanted program

correspond a des backdoor, dialers, games, jokes et malicious software

activer = activate all types

 

 

menu Heuristic

correspond à la recherche heuristique

Macro virus heuristic

activer = enable macro virus heuristic

 

Win32 files heuristic

activer = Win32 file heuristic enable

activer = detection level high

 

menu Drag & Drop

activer = scan subdirectories

 

menu internet updater

activer = allow automatic internet update downloads

 

menu miscellaneous

 

temporary patch

metter le dossier dans lequel vous souhaitez que soit décompresser les patches

 

stop scan

permet de savoir si on doit supprimer un fichier ou le mettre en quarantaine (pendant le scan)

activer = interruption allowed

activer = overwrite deleted files

 

Antivir tools

activer = load the guard system start

 

Virus definition file

activer = check for files old virus definition files

en dessous, indiquer = 1 days old

Merci à Tesgaz 

 

 

Une fois téléchargé passe le en mode sans echec.N'oublie pas de le mettre à jour auparavant.

 

et un pare -feu :Kerio

http://babin.nelly.free.fr/kerio.htm

Tu y trouveras le logiciel et le patch français.

 

NB;Quand tu fixe sur Hijakthis rappelle toi ceci:

Toutes les fenetres Internet Explorer,Outlook Express etant fermées.

Modifié le 31 octobre 2004 par molaire

[Ibiscus]

BONJOUR MOLAIRE,

 

est ce que je dois faire la manip. en mode sans echec ou pas ?

Deja avec killbox je l'ai pas fait en mode sans echec et mon ordi avait bloqué au rebootage (peut etre il aurait fallu).

 

Sinon stinger bloque sur un fichier dans "acrobat" et ne redemare plus.

 

@+

 

J'essaye déjà en mode normale.

[Ibiscus]

Rebonjour,

Rien d'autre quà supprimer ces fichiers de p....de    m....

 

Pour Killbox,essaie ce lien:

http://www.securitywonks.net/killbox/killboxdownload.php

Essie d'utiliser Killbox pour supprimer ces fichiers.

 

Si cela ne marche pas,on  procéde autrement:

Tu fais ceci:

ferme toutes les fenêtres ouvertes,

clique sur le bouton Démarrer, sur Exécuter, saisis taskmgr

puis valide.

Dans l'onglet Processus, sélectionne explorer.exe

puis clique sur le bouton Terminer le processus.

Laisse le Gestionnaire de tâches ouvert puis,clique sur le menu fichier-->

nouvelle tache(Executer)-->Ouvrir .

Place toi dans le dossier contenant le fichier

récalcitrant puis saisis DEL nomdufichier.* puis valide.LA JE COMPREND PAS BIEN QUOI FAIRE, OU DOIS JE SAISIR "DEL" ?(j'arrive pas non plus à le sup. direct)

Ouvre alors de nouveau le Gestionnaire de tâches puis

clique sur le menu Fichier, Nouvelle tâche.

Saisiss explorer.exe puis valide.

 

Tu fais cette manoeuvre pour chaque fichier.

 

Dans ton cas:

nomdufichier.*=

 

C:\WINDOWS\services.exe

 

C:\WINDOWS\system32\fservice.exe

 

C:\windows\systeme\sservice.exe

 

-Puis télécharge Escan:

http://www.mwti.net/antivirus/free_utilities.asp

http://www.mwti.net/download/tools/mwav.exe

-Lance eScan

.. (pour un scan complet)

.. cocher la case "Drive"

.. sélectionner le bouton-radio "Scan All Files"

. cliquer sur le bouton "Scan Clean" (sous Action)

Le scan dure un certain temps... , eScan distingue plusieurs catégories dans les éléments douteux :

.. "No action taken" pour des éléments qu'il reconnait  comme n'étant pas des virus

.. "File renamed" pour des éléments douteux

.. "File deleted" pour les malwares.

 

On va y arriver.

 

a++

415457[/snapback]

 

 

Voici le resultat de eScan:

 

C:\WINDOWS\System32\reginv.dll infected by "Backdoor.Win32.Prorat.191" Virus. Action Taken: No Action Taken.

 

C:\WINDOWS\System32\winkey.dll infected by "Backdoor.Win32.Prorat.19" Virus. Action Taken: No Action Taken.

 

C:\WINDOWS\services.exe infected by "Backdoor.Win32.Prorat.19" Virus. Action Taken: No Action Taken.

 

C:\WINDOWS\System32\fservice.exe infected by "Backdoor.Win32.Prorat.19" Virus. Action Taken: No Action Taken.

 

C:\windows\systeme\sservice.exe "" "" ""

 

les lignes apparaissent plusieur fois.

 

+ des codecs en "not a virus" "no action taken"

 

De plus, il m'est impossible de remettre mon firewal windows et ma restauration systeme (deconnecté depuis le virus).

Modifié le 1 novembre 2004 par Ibiscus

[tangui]

télécharge antivir (regarde dans ma signature)

redemarre en mode ss echec

installe le

fait un scan

Normalement il devrait te le virer...

sinon, il faut que tu supprimes dans ces emplacement:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Policies\Explorer\Run

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}

 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

Les valeurs:

"MSNMESENGER"="%System%\Main.exe"

 

"DirectX for Microsoft Windows"="%System%\Fservice.exe"

 

"DirectX for Microsoft Windows"="%System%\Sservice.exe"

 

"StubPath"="C:\Windows\system\Sservice.exe"

et que tu modifies dans:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

la clé:

explorer.exe %System%\Fservice.exe

vers:

explorer.exe

en gros tu supprimes

%System%\Fservice.exe

voili

[Ibiscus]

Eureka !!

 

Le gagnant est:

 

 

 

ANTIVIR

 

 

 

Et Molaire bien sur, gros merci tu as été super patiente, hyper claire et tres éfficace.

mille merci à toi et aussi megataupe, spin07 et tangui.

 

J'ai essayé de poster hiers soir mais cela n'a pas marcher.

 

Par contre il me reste 3 questions:

 

-Si j'avais enlevé mon antivirus c'est parcequ'il ralentissait enormement ma ligne, alors aurais tu un truc pour booster ma connection si cela arrive.

-le firewal XP n'est il pas sufisant?

- et il me reste 6 mouchards qui reviennent tout le temps, est ce que je peux les suprimer ? -->

DoubleClick: Cookie traceur (Internet Explorer: alain) (Cookie, nothing done)

 

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1060284298-152049171-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

Modifié le 2 novembre 2004 par Ibiscus