Virus recalcitrant [résolu]

[Krystyna]

Bonjour a tous

 

J'essaye nettoyer le portable de mon frere, mais je trouve un virus qui continue a reapparaitre...Downloader Trojan

 

Merci pour d'aide...

 

Logfile of HijackThis v1.99.1

Scan saved at 16:58, on 11/07/05

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\atievxx.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\RAMpage\RAMpage.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\MSN Apps\Updater\01.02.3000.1001\en-au\msnappau.exe

C:\Documents and Settings\Peter\My Documents\My Downloads\HijackThis.exe

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINDOWS\system32\vbrundll.dll

O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\system32\nslD2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\en-au\msntb.dll

O2 - BHO: RichEditor Class - {F79A2C4B-8776-4ED7-8B2F-4786A4A3500A} - C:\WINDOWS\system32\richedtr.dll

O3 - Toolbar: ninemsn - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\en-au\msntb.dll

O4 - HKLM\..\Run: [RAMpage] "C:\Program Files\RAMpage\RAMpage.exe" M=28 T=4 LG P="C:\Program Files\RAMpage\RAMpageConfig.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [regsync] C:\WINDOWS\system32\regsync.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1120379807985

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Modifié le 11 juillet 2005 par Krystyna

[Invité tesgaz]

Salut,

 

tu appliques cette procédure simple et efficace et tu nous refais passer le log hijackthis s'il te plait :

http://forum.zebulon.fr/index.php?showtopi...ndpost&p=522499

[Krystyna]

Merci tesgaz

 

Mais premièrement, je dois traduire les instructions dans ton lien !!!

[Krystyna]

Ok...tout va bien!

 

J'ai supprimé le service SVCPROC dans la BDR, et j'ai decoché des lignes dans

HijackThis concernant BHO...

vbrundll.dll

nslD2.dll

richedtr.dll

 

Le portable chante!

 

A bientôt!

[Invité tesgaz]

bravo, c'est bien,

 

je supose que tu as aussi supprimer ces lignes ?

O4 - HKLM\..\Run: [regsync] C:\WINDOWS\system32\regsync.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

[ipl_001]

Bonsoir Krystyna, tesgaz, bonsoir à tous,

 

Impeccable !

 

Est-ce que Isaac est ton cousin ? regarde chez nos amis de Computing -> http://www.computing.net/security/wwwboard/forum/14592.html

My cousin's PC appeared to be infected by this virus few days ago.

LOL

 

Ton système est nettoyé mais jette un oeil sur ces pages :

 

-> http://securityresponse.symantec.com/avcen...der.trojan.html

 

-> http://www3.ca.com/securityadvisor/pest/pe...px?id=453089230

 

pour voir s'il n'y a pas encore quelques toiles d'araignée dans les coins !

 

Instead of fixing the O23 line via HijackThis, prefer this way:

Start / Run / type services.msc then click on OK

Disable the service 'System Startup Service (SvcProc)'

 

Krystyna, AVG a-t-il donc laissé passé les bestioles ?

 

Tu aimes optimiser ton système, alors je te conseille de rester quelques heures sur le forum pour parcourir les posts de tesgaz !

[tirol]

Bonsoir,

 

ouff, soufflé, mais comment il fait IPL pour connaitre tous les cousins des Kristina,

même quand ailleurs qu' en Australie.

J'en reviens tjs pas .....

tirol

[ipl_001]

Bonsoir tirol,

 

Krystyna et moi étions sur le forum Computing.Net il y a quelques années, alors nous avons toujours un oeil là-bas !

[Krystyna]

Bonjour à tous

 

Je suis extasiée!

Le portable marche bien, et Peter a arrêté de se plaindre!

 

Salut tesgaz

Oui, j'ai supprimé aussi les lignes concernant regsync.exe et svcproc.exe

 

Salut ipl

Premièrement, j'ai decoché svcproc.exe dans HijackThis, mais il continue à reapparaitre.

Puis, j'ai desactivé dans Services, mais il etait là encore après un redemarrage.

Puis, j'ai supprimé svcproc.exe dans la BDR...et maintenant, il a disparu finalement!

 

Concernant AVG...pas de probleme!

J'aime beaucoup mon AVG!!!

AVG a trouvé toujours le virus, et il l'a mis dans le Virus Vault...mais le virus continue à reapparaitre par intermittence.

 

Salut tirol

G'day from the kangaroos!

 

Bon mardi!

[ipl_001]

Hé bien, bravo Krystyna !

 

Si tu deviens experte en éradication de virus, nous comptons sur tes interventions sur ce forum !