[resolu] ecran qui bouge - Virus?

[elerte]

bonjour,

 

J'ai un pc qui a l'ecran qui bouge. et ce, quel que soit l'écran que je met!

W2K est mis à jour!

Carte graphique : Intel 82845G dont j'ai téléchargé le dernier pilote.

 

Je me souviens avoir lu quelque part sur un forum (et, j'ai cherché ici) que cela pouvait etre un virus...

si quelqu'un a une idée...je prends!

 

merci par avance

 

elerte

Modifié le 14 mars 2006 par elerte

[tornado]

Salut elerte,

 

Applique s'il te plaît la procédure suivante --> http://forum.zebulon.fr/index.php?showtopic=83986

 

 

Puis fais un scan hijackthis (en mode normal) et poste le rapport:

 

- Télécharge hijackthis --> http://www.merijn.org/files/hijackthis.zip

- Déplace hijackthis.exe dans un répertoire NON temporaire (crée par ex. un dossier C:\program files\hijackthis et déplaces-y hijackthis.exe )

- Lance hijackthis, "do a system scan and save a logfile puis clique sur "Scan"

- Copie le rapport généré et poste-le

 

 

 

A+

Modifié le 2 mars 2006 par tornado

[Polloloco]

Si c'est un CRT possible que se soit l'écran et non un virus

[elerte]

Si c'est un CRT possible que se soit l'écran et non un virus

 

je pensais plutot à la carte graphique...car quelque soit le moniteur que je mets, c'est pareil...

 

ci-dessous rapport hijack (sans les lignes en 017...domaine d'entreprise, et tout y est ok!)

merci d'avance pour l'interprétation

 

j'ai un doute sur "backweb..." et sur "internat.exe"

 

elerte

 

Logfile of HijackThis v1.99.1

Scan saved at 14:10:50, on 02/03/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINNT\system32\NA_Service.exe

C:\WINNT\system32\NA_XWAY.exe

C:\Norman\bin\ZANDA.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Norman\bin\NJEEVES.EXE

C:\Norman\Nvc\BIN\NVCSCHED.EXE

C:\Norman\Nvc\BIN\nipsvc.exe

C:\WINNT\Explorer.EXE

C:\WINNT\SOUNDMAN.EXE

C:\WINNT\system32\igfxtray.exe

C:\WINNT\system32\hkcmd.exe

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe

C:\Norman\bin\ZLH.EXE

C:\WINNT\system32\internat.exe

C:\Norman\Nvc\BIN\NIP.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINNT\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - Global Startup: EPSON Status Monitor 3.2 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1141285301406

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NetAccess Service (NA_Service) - Schneider Automation - C:\WINNT\system32\NA_Service.exe

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE

[Thanos]

salut

 

elerte, peut tu faire analyser ces fichiers (en gras), je me demande s'ils sont liés au Trojan.simcs :

 

C:\WINNT\system32\NA_Service.exe

C:\WINNT\system32\NA_XWAY.exe

 

il faudra peut être faire ceci pour les voir=>

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

ici:

 

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

 

communiquer les 2 rapports.

 

 

Lorsque tu cliques sur ces deux adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier NA_Service.exe que tu trouveras en allant dans le dossier C:\WINNT\system32 .Tu cliques une fois sur le fichier NA_Service.exe(il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) pour le virusscan de jotti et "send" pour virustotal.Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Il est possible que tu reçoives ce message =>

"Server is extremely busy at the moment. Please try again later."auquel cas il faut retenter le coup plus tard!

Fais la même chose avec NA_XWAY.exe

Modifié le 2 mars 2006 par charles ingals

[elerte]

bonjour,

 

j'ai fait comme indiqué...

 

le 1er n'a rien trouvé

statut : "ok" , "Found nothing" partout, pour les 2 fichiers

 

et le 2ème scan est momentanément interrompu, ils m'envoient le résultat par mail...je ne sais pas quand!

je le posterai dés que je l'aurai reçu.

 

merci

 

elerte

[elerte]

bonjour à tous,

 

j'ai trouvé d'ou ça venait...un transfo!

 

(vous savez du style de ceux qui sont sur les prises de téléphone)

 

j'ai éloigné le transfo de l'ecran ...et plus d'écran qui bouge!

 

elerte