Virus virtumonde, pc ralentit :(

[Malekal_morte]

Ton rapport ne montre pas de signe d'infection.

 

Tu devrais peut-etre faire du ménage dans les programmes installés dans ajout/suppression de programmes du panneau de configuration, notamment peut-être :

AI RoboForm / Barre RoboForm (tu as déjà la googlebar)

Sandra SiSoftware

 

et faire du ménage comme je te l'avais proposé dans les programmes au démarrage avec msconfig (voir message précédent).

Modifié le 6 août 2006 par Malekal_morte

[jcarine]

J'avais fait du ménage ds les programmes... mais certains je ne sais pas ce que c'est, alors je ne préfère pas toucher

 

merci quand même

[Malekal_morte]

Je pensais que tu devrais aller poster dans la partie Software du forum : http://forum.zebulon.fr/index.php?showforum=12

ils t'aideront et répondront à tes questions pour faire le ménage.

 

Si c'est vraiment lent, ça peut aussi être un prb hardware...

[jcarine]

Ok, merci, je vais aller y faire un tour, là c'est redevenu très très lent! C'est terrible, je ne peux rien faire ou presque....

[jcarine]

Hello!

 

Me voilà de retour

Après pas mal de soucis avec le Pc, on a finalement mis un nouveau disque C, mais je pense qu'il a dû, encore, récupérer un virus (PC re-très lent)

 

J'ai fait un rapport HijackThis, il a l'air bien vide!

Peux tu encore m'aider?

 

Merci

 

Logfile of HijackThis v1.99.1

Scan saved at 12:48:31, on 03/09/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\ftp.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://numericable.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Microsoft Networking Service] ms-net.exe

O4 - HKLM\..\Run: [Display Control Panel] C:\DispCtrl\vi_grm.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [Task Manager Win32] C:\WINDOWS\System32\taskmngr32.exe

O4 - HKLM\..\Run: [Anvshell] anvshell.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [LiveNote] livenote.exe

O4 - HKLM\..\Run: [Windows Update Manager] sysinfo32.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\RunServices: [Microsoft Networking Service] ms-net.exe

O4 - HKLM\..\RunServices: [Windows Update Manager] sysinfo32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

O23 - Service: Local Network Service (algs) - Unknown owner - C:\WINDOWS\scvh0st.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Windows Genuine Advantage Registration Service (net32a) - Unknown owner - C:\WINDOWS\System32\net32a.exe

O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe

[Malekal_morte]

re-bonjour jcarine,

 

Ton ordinateur est très infecté car la personne a réinstallé et s'est connecté à internet sans firewall.

Du coup plein de virus.

 

Il faut tjrs se connecter à internet avec un firewall.

 

A LIRE, ton ordinateur est infecté car il n'est pas à jour et non protégé par un firewall. Dans le cas où tu te connectes avec un modem, il est IMPORTANT que tu installes ZoneAlarm avant de commencer les manipulations. En effet, si tu ne le fais pas, après avoir nettoyé ton ordinateur, dès que tu vas te reconnecter à internet, tu vas te réinfecter, il faudra alors recommencer à zéro. Donc :

 

---> Installe ZoneAlarm

 

Une fois ZoneAlarm installé, tu peux commencer ces manipulations, à effectuer entièrement

Merci de bien vouloir :

- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.

- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.

- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !

 

-- Menu Démarrer puis executer, dans le champs tape : SC delete Win32Kernel

-- Menu Démarrer puis executer, dans le champs tape : SC delete net32a

 

- Demarrer / executer / tape services.msc

- Cherche Local Network Service dans la liste

- Double clic dessus, positionne le type de démarrage sur désactiver

 

 

 

Sur HijackThis, refais un scan et coches les lignes suivantes :

 

O4 - HKLM\..\Run: [Microsoft Networking Service] ms-net.exe

O4 - HKLM\..\Run: [Windows Update Manager] sysinfo32.exe

O4 - HKLM\..\RunServices: [Microsoft Networking Service] ms-net.exe

O4 - HKLM\..\RunServices: [Windows Update Manager] sysinfo32.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HijackThis

 

- Télécharge et installe ewido

- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'Aide ewido pour tout problème.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

- Télécharge la version d'évaluation de Kaspersky Antivirus : http://www.kaspersky.com/fr/trials?chapter=186498689 - tutorial : http://www.malekal.com/tutorial_Kaspersky_trial.html

- Après l'installation, lors de la configuration via l'assistant :

- Active la version d'évaluation des licences de 30 jours

- Lance une mise à jour automatique

- Active la protection de base

** Ne lance pas un scan une fois le programme installé et configuré **

 

____

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

 

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

 

- Ouvre ewido et clic sur l'onglet Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

N'hésite pas à consulter l'Aide ewido pour tout problème.

 

 

- Démarre Kaspersky à partir du Menu Démarrer / Tous les programmes / Kaspersky Anti-virus

- Une icone avec un K grisé va apparaître en bas à droite à côté de l'horloge

- Fais un clic droit sur cette icône puis "Analyser le Poste de travail"

- Le scan de l'ordinateur va démarrer

- Une fois le scan terminé, supprime tous les malwares détectés

- Créé un rapport à partir du bouton Enregistrer-sous en bas de la fenêtre, enregistre le fichier sous le nom Kaspersky.txt sur ton bureau

 

____

 

 

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

 

 

 

-- Copie/Colle ici les rapports sans en oublier :

- du scan Kaspersky

- ewido

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HijackThis

[jcarine]

Hello!

 

Alors j'ai bien suivi tes conseils, mais lors de la mise en route de kesksky, ça n'avancait pa! j'ai redémarré le pc et là, plus moyen de me connecterà la session!

mn homme a donc réinstaller le disk c!

je te redonne donc mon rapport, dis moi si je dois tout recommencer, merci bcp

 

Logfile of HijackThis v1.99.1

Scan saved at 14:42:19, on 04/09/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Anvshell.exe

C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Messenger\msmsgs.exe

c:\Program Files\Numericable\Mon Assistant Internet\bin\mad.exe

c:\Program Files\Numericable\Mon Assistant Internet\bin\mpbtn.exe

C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\devldr32.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\jj\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numericable.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Mon Assistant Internet.lnk = C:\Program Files\Numericable\Mon Assistant Internet\bin\matcli.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

PS: j'ai installé zonealarm dès ma 1ère connexion

[Malekal_morte]

Installe le service pack 2 : http://www.01net.com/telecharger/windows/U...ches/29989.html

[jcarine]

Voilà, c fait, merci

[jcarine]

Il bloque qd même pas mal encore mon pc (je n'arrête pas de le redémarrer pour avoir "la main")! Si ça n'est pas un soucis de virus, tu as une idée à quoi ça peut être dû?