[résolu]antivirus Gold vérification d'erradication

[romain75002]

Bonjour

 

bien que néophyte en informatique ( ce n'est pas mon rayon ), j'ai réussi à eradiquer semble t'il ce fichu virus malware grâce à deux programmes :

regcleaner .

et Killbox ( pour supprimer le fichier programme "Hookdump.exe" qui réinstallait à chaque fois le virus et qui était visible par la croix rouge dans la barre en bas à droite).

 

J'ai souvent vu dans les différents forums des notes et des listening super long sur "hijackthis" mais j'avais peur des bêtises que je pouvais faire...

Croyez vous qu'en usant de Regcleaner et Killbox j'ai réussi à supprimer le problème definitivement ?

 

 

Quel est la différence entre un malware et un cheval de troie ou un vers ?

Est ce que je peux aller sur des sites sécurisés ( banque, finance) sans inquiétude?

 

Voulez vous bien m'aider si je fais une analyse Hijackthis sachant que je n'y connais rien en programmation et que l'ordinateur que je répare est sous Windows 98 ?

 

Merci

[ngchrist]

Bonjour,

 

je pense que tu trouveras des gens pour t'aider, mais suis la procédure suivante avant de poster un log

 

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

----------

 

522499[/snapback]

source : http://forum.zebulon.fr/index.php?showtopic=69176

 

Pour une définition simple de malwares, spywares.... tu peux aller voir : http://www.securiteinfo.com/attaques/divers/malwares.shtml

Modifié le 12 juillet 2005 par ngchrist

[ipl_001]

Bonsoir romain75002, ngchrist, bonsoir à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

Bonjour

 

bien que néophyte en informatique ( ce n'est pas mon rayon ), j'ai réussi à eradiquer semble t'il ce fichu virus malware grâce à deux programmes :

regcleaner .

et Killbox ( pour supprimer le fichier programme "Hookdump.exe" qui réinstallait à chaque fois le virus et qui était visible par la croix rouge dans la barre en bas à droite).

Félicitations si tu as réussi mais il faut se méfier car le but des pirates est de passer inaperçu et de collecter mots de passe, codes CB, prendre possession d'un ordinateur, etc. si bien que lorsqu'on détecte un malware, il convient de nettoyer soigneusement ! De même qu'il est souhaitable, périodiquement, d'examiner son système.

J'ai souvent vu dans les différents forums des notes et des listening super long sur "hijackthis" mais j'avais peur des bêtises que je pouvais faire...

Croyez vous qu'en usant de Regcleaner et Killbox j'ai réussi à supprimer le problème definitivement ?

Je doute !

Quel est la différence entre un malware et un cheval de troie ou un vers ?

"Malware" est le nom générique pour parler des toutes ces saletés qui menancent nos ordinateurs ! Comme ces parasites sont tout à la fois un peu ver, un peu virus, un peu spyware, etc. les Américains préfèrent dire Malware (qui regroupe le tout)... attention de bien prononcer mèlwère (US) sinon, comme pour moi qui avait dit malwère, vous ne serez pas compris ! LOL

Un cheval de Troie est un programme informatique qui attend pour déclancher ses actions !

Un ver est un programme informatique qui est capable de se propager dans un réseau (réseau local, d'entreprise ou Internet)

Est ce que je peux aller sur des sites sécurisés ( banque, finance) sans inquiétude?

Non !

Voulez vous bien m'aider si je fais une analyse Hijackthis sachant que je n'y connais rien en programmation et que l'ordinateur que je répare est sous Windows 98 ?

 

Merci

Bien sûr qu'on va t'aider ! Avec plaisir ! moi ou quelqu'un d'autre sur ce forum !

[KennyCain]

Bonsoir a tous ,

Mon pc est victime de ce malware et j'ai toutes les peines du monde à l'éliminer : j'ai supprimer les fichiers suspect dans le répertoire \systm32, utiliser "ad-ware" et "spybot" mais rien n'y fait, bien que je n'ai plus la croix blanche dans ma barre des taches et que mon bureau n'affiche plus le message d'avertissemnt "av gold" , mon bureau passe du blanc au gris sans afficher le fond d'écran microsoft.

Alors voila j'ai suivi toutes les étapes afin d'établir un log hijackthis et demande de l'aide à toutes les âmes charitables de zebulon sur les points suivants: Est ce que je me suis bien débarrassé de ce malware? Et si oui est ce que je peux effectuer des paiments sur des sites securisés (tel que cdiscount ) sans risquer de me faire suivre à la trace par ce spyware ( bien que le risque zero n'existe pas) ?? Merci d'avance pour vos réponses

Voila mon log:

Logfile of HijackThis v1.99.1

Scan saved at 00:18:56, on 13/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"

O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NvCplScan] nvsc32.exe

O4 - Startup: SpeedFan.lnk = D:\Program Files\SpeedFan\speedfan.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E5BAEEEE-4F3D-4E93-8FCF-D6E7845B19B2}: NameServer = 192.168.0.254

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[ipl_001]

Bonsoir KennyCain,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

S'il te plaît, il faut démarrer une nouvelle discussion avec ton problème et ne pas squatter le sujet de romain75002

 

-> http://forum.zebulon.fr/index.php?showtopic=70508

[KennyCain]

Bonsoir KennyCain,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

S'il te plaît, il faut démarrer une nouvelle discussion avec ton problème et ne pas squatter le sujet de romain75002

 

-> http://forum.zebulon.fr/index.php?showtopic=70508

534329[/snapback]

Trés bien désolé d'avoir "squatté" je reposte dans un nouveau sujet

[romain75002]

Bonsoir,

Je croyais que je serais avertis sur ma boite mail perso... donc j'attendais.

Merci pour la procédure...Je commence.

Mais d'après ce que j'ai lu, cela me donne envie d'acheter une nouvelle UC !!!

Il a l'air plutot méchant ce fichu truc ...

 

A tout à l'heure.

 

Rom.

[Invité Stonangel]

Edité: c'est pas le bon rapport, déjà traité

Modifié le 13 juillet 2005 par Stonangel

[romain75002]

ok j'apprend un peu les codes de communications de ce forum... J'espère que j'ai appuyé sur le bon bouton.

Concernant Antivir... je ne m'y retrouve pas vraiment sur leur site, je vais donc chercher sur "telecharger.fr" et suivre vos instructions ( j' ai un mauvais souvenir d'antivir ).

 

A +

 

Rom

[romain75002]

Help me please... mon Anglais se limite à 50 mots... et le site Telecharger.com me renvoit au même lien que vous...Où est ce que je trouve le bon lien dans la page d'Antivir ( Windows 98) .

 

Merci

 

Rom.