aidez moi à mettre un nom sur mon virus [virus] - Sécurité - Windows & Software
Marsh Posté le 25-05-2005 à 16:06:12
les virus arrive rarement tout seul
Sinon as tu utiliser un autre antivirus pour déterminer ton virus
de nombreux antivirus propose un scan online (comme www.secuser.com ou norton antivirus )
Marsh Posté le 25-05-2005 à 16:09:57
Desactiver la restauration du systeme ca donne quoi ? si mon virus me pourrit tout je pourrait pas restaurer !?
Sinon j'ai essayé le secuser.com mais je suis derriere un proxy et il veut pas !
Marsh Posté le 25-05-2005 à 16:11:44
il y a des virus qui se planquent dans la restauration du systeme, donc quoique tu fasses ils reapparaitront ....
A toi de voir soit tu perds ton historique de restauration systeme, soit tu gardes ton virus !!
rien ne t'empeche de la reactiver apres avoir nettoyé ton pc !!!
Marsh Posté le 25-05-2005 à 16:15:14
je crois avoir trouvé ton virus il s'agit d'un ver nommé W32/Oror-R
Marsh Posté le 25-05-2005 à 16:18:04
tu peux regarder ce lien si tu veux http://www.sophos.fr/virusinfo/analyses/w32ororr.html
il s'agit en fait d'un ver de la famille W32/Oror-Fam:
http://www.sophos.fr/virusinfo/ana [...] orfam.html
Marsh Posté le 25-05-2005 à 16:22:26
malheureusement Oror est un autre nom de Roron !
Enfin je te remercie, je suis content d'avoir trouvé une description du virus qui correspond à mes symptomes !
Maintenant il faut que je trouve un Fix-Roron Fix-Oror qui le trouve (je vais desactiver la resto systeme aussi );-)
Marsh Posté le 25-05-2005 à 16:24:59
http://www.sophos.fr/virusinfo/analyses/w32ororr.html
et tu clique sur désinfection, ya la méthode manuelle
Marsh Posté le 25-05-2005 à 16:26:01
merci je venais de le voir j'essaie et je vous mets au courant !
Marsh Posté le 25-05-2005 à 16:26:45
Bonjour, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip
Important: Installer Hijackthis correctement
Linstaller sous C:\Hijackthis par exemple (pas dans un fichier temp)
Scan/save log (rapport)/copier&coller le contenu du rapport ici
Tutorial pour linstallation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
Marsh Posté le 25-05-2005 à 18:56:27
mon log :
Logfile of HijackThis v1.99.1
Scan saved at 18:53:02, on 25/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Program Files\Alias\Maya6.0\docs\Wrapper.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Alias\Maya6.0\docs\jre\bin\java.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\ESB.exe
C:\WINDOWS\System32\4mtcsb.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinTV\WinTV2K.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = oscar.ens.insa-rennes.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe
O4 - HKLM\..\Run: [4mtcsb] C:\WINDOWS\System32\4mtcsb.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ChrisTV Agent] "C:\Program Files\ChrisTV Lite\ChrisTV_Agent.exe"
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 7508437527
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O23 - Service: Alias Documentation Server (aliasdocserver) - Unknown owner - C:\Program Files\Alias\Maya6.0\docs\Wrapper.exe" -s "C:\Program Files\Alias\Maya6.0\docs/Wrapper.conf (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Merci de m'aider, sinon j'ai aussi ewido/spybot/adaware si ca peut vous aider à m'aider
Merci
Bye
Marsh Posté le 25-05-2005 à 19:43:35
Bonjour, il a deux lignes qui m'intriguent: je n'ai pas trouvé d'information. Je te propose donc de les neutraliser (si problème backup avec Hijackthis):
1 Démarre Hijackthis Do a system scan, assure toi que l'option Make backups before fixing items est activée et coche les lignes suivantes:
O4 - HKLM\..\Run: [4mtcsb] C:\WINDOWS\System32\4mtcsb.EXE
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
Ferme tous les programmes toutes les fenêtres puis Fix checked.
2 Installe SpywareBlaster:
http://www.javacoolsoftware.com/downloads.html
Son tuto:
http://www.ordi-netfr.org/tutorialspywareblaster.html
3 Fais un scan en ligne sur Panda:
http://www.pandasoftware.com/produ [...] ncipal.htm
Communique le résultat
4 Tu peux également paramétrer Spybot ainsi:
Mode> Choisir Avancé> Outils (en bas à gauche)> Coche fichier Hosts> Clique fichier Hosts (menu déroulant à gauche)> Clique sur la croix verte
Marsh Posté le 26-05-2005 à 11:53:25
J'ai fait tout ce que t'as dit :
PandaSoftware ne me trouve pas de virus !
Et pourtant j'ai toujours ces fichiers qui se créént. Apparement Il n'y en a pas d'autre trace entre deux creations de .Exe, donc les antivirus le trouve pas !
Que faire ?
Marsh Posté le 26-05-2005 à 19:33:08
Bonsoir, télécharge cet utilitaire Silent runners
http://www.silentrunners.org/Silent%20Runners.zip
Une fois téléchargé, tu le dézippes dans un dossier dédié.
Puis tu double cliques sur ce fichier, il va travailler, patiente jusqu'à l'affichage d'un message.
Un log est généré dans le même dossier, colle le log ici.
Marsh Posté le 27-05-2005 à 22:01:10
Voici mon log, si vous pouvez en tirer quelque chose :
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MessengerPlus3" = ""C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart" ["Patchou"]
"msnmsgr" = ""C:\Program Files\MSN Messenger\msnmsgr.exe" /background" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"IgfxTray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"]
"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"ESB" = "C:\WINDOWS\System32\ESB.exe" [empty string]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"MessengerPlus3" = ""C:\Program Files\Messenger Plus! 3\MsgPlus.exe"" ["Patchou"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"mmtask" = "c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe" ["TODO: <Company name>"]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"DAEMON Tools-1033" = ""C:\Program Files\D-Tools\daemon.exe" -lang 1033 -noicon" ["DAEMON'S HOME"]
"SunJavaUpdateSched" = "C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe" [null data]
"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS]
"ChrisTV Agent" = ""C:\Program Files\ChrisTV Lite\ChrisTV_Agent.exe"" [file not found]
"ZCfgSvc.exe" = "C:\WINDOWS\system32\ZCfgSvc.exe" ["Intel Corporation"]
"PRONoMgr.exe" = "C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" ["Intel(R) Corporation"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{C333CF63-767F-4831-94AC-E683D962C63C}\(Default) = "TGTSoft Explorer Toolbar Changer"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\OpenOffice.org1.1.2\program\shlxthdl.dll" ["Sun Microsystems, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{C1E0F698-96DC-11d3-89DC-00C04F79B2C0}" = "SolidEdgeQuery"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Solid Edge\Program\QuerySE.dll" ["Unigraphics Solutions, Inc."]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]
HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
Enabled Active Desktop and Wallpaper:
-------------------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Leroy Seb\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
------------------------------------
Dormant Explorer Bars in "View, Explorer Bar" menu
HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\
(Default) = "&Rechercher"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS]
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherche"
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Alias Documentation Server, aliasdocserver, ""C:\Program Files\Alias\Maya6.0\docs\Wrapper.exe" -s "C:\Program Files\Alias\Maya6.0\docs/Wrapper.conf"" [null data]
avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
ewido security suite control, ewido security suite control, "C:\Program Files\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Program Files\ewido\security suite\ewidoguard.exe" ["ewido networks"]
Kerio Personal Firewall 4, KPF4, ""C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe"" ["Kerio Technologies"]
RegSrvc, RegSrvc, "C:\WINDOWS\system32\RegSrvc.exe" ["Intel Corporation"]
SmartLinkService, SLService, "slserv.exe" [" "]
Spectrum24 Event Monitor, S24EventMonitor, "C:\WINDOWS\system32\S24EvMon.exe" ["Intel Corporation "]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
Merci beaucoup
D'ailleurs j'y vois deux infection warning, mais çà je le savais déjà, maintenant comment le reparer ???
Marsh Posté le 27-05-2005 à 22:22:54
Je sais vraimetn pas quoi faire de ces dll, je peux pas vraiment les reparer, je peux pas non plus les supprimer !
D'ailleurs qui sait ce qu'est le igfxsrvc.dll ?
Je dis ca parce que j'ai telechargé les drivers pour reussir à faire marcher ma carte wifi le jour meme ou la veille de mon agression. je vois pas le rapport avec le virus mais bon un truc Intel Corporation, enfin bon je commence à etre desespéré
Marsh Posté le 27-05-2005 à 22:41:47
(d'ailleurs comment comprendre que Ewido soit annoncé infecté ?)
Marsh Posté le 27-05-2005 à 22:58:09
Re, j'ai regardé le rapport sous toutes les coutures je n'ai rien trouvé.
igfxsrvc.dll est ajouté par Intel et c'est légitime, de même que MSOXMLMF.DLL...
Si elle sont réellement infectées (j'ai des doutes) la première peut se neutraliser avec Hijackthis:
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
En mode sans échec, pour la seconde:
Assure toi d'avoir accès à tous les fichiers.
Citation : Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : |
MSOXMLMF.DLL la renommer en MSOXMLMF-DLL.anc ( extension tiret point anc) si problème faire l'opération inverse, sachant qu'elle est téléchargeable.
Sous réserve mais comme ces fichiers ne sont pas supprimés, il est toujours possible de les retrouver. Bonne chance: là je cale...
Marsh Posté le 27-05-2005 à 23:03:23
Bah merci, mais bon j'y crois pas trop !
De toutes facons le virus restera quelquepart dans le registre à creer ses merdes de fichiers !
Marsh Posté le 28-05-2005 à 00:14:54
salut cette 020 est legitime il faut pas la virer
Marsh Posté le 28-05-2005 à 10:08:34
Ca me rappelle une belle histoire de galère, des journées perdues à essayer de désinfecter avec tout ce qui existe gratos en anti-spyware, anti-virus, et tout ce qu'on peut imaginer....j'avais Norton (viré), puis Avast, puis je me suis rendu compte que mon ordi était une passoire, j'étais à 1 micron du formatage. Puis j'ai suivi un conseil, sur ce forum, d'ailleurs, j'ai acheté Kaspersky 5.1, il ne lui a pas fallu 60 minutes pour désinfecter toute la machine (+ de 75 bestioles diséminées sur mes 4 partitions....
Je ne crois pas qu'il existe une meilleure solution, à toi de voir...
PS:
Et j'ai pas du reformater....
Marsh Posté le 28-05-2005 à 13:46:50
Bonjour, tu as combien de sessions utilisateurs ouvertes?
Marsh Posté le 28-05-2005 à 13:46:56
Kapersky ?
Il est vraiment superieur ? Parce que j'arrive pas vraiment à me rendre compte des differences entre chaque et des rapports qualité/prix !
De sessions utilisateurs ouvertes ?
Si ca veut dire le nombre d'utilisateurs créés sur mon ordi, un seul ! D'ailleurs depuis que j'ai le virus il me demande de choisir mon utilisateur (enfin juste de cliquer sur ma session quoi) au demarrage de windows !
Sinon c'est que j'ai pas compris la question
Marsh Posté le 28-05-2005 à 14:01:59
Re, tu peux événtuellement télécharger la version d'évaluation de Kaspersky (30 jours)
http://www.kaspersky.com/fr/evalua [...] =146669797
Il arrive parfois que des problèmes soient générés par d'autres sessions que celle de l'utlisateur dont tu analyses le log. Je viens de voir ça sur un autre forum.
Marsh Posté le 28-05-2005 à 15:42:49
Bon je lance une analyse kaspersky sans grands espors !
Marsh Posté le 28-05-2005 à 17:48:07
Apres une analyse Kaspersky qui m'a trouvé un virus dans Avast, mais pas roron, j'en arrive à cette observation :
-j'ai fait 7 ou 8 scans total de mon pc de tous genres
-je n'ai plus aucun signe du virus depuis hier soir, date à laquelle je me suis debranché du reseau intra/internet de mon école !
J'en arrive à une conclusion : est-il possible qu'il n'y ait pas de virus à proprement parlé sur mon ordi, mais que je puisse être infecté par un virus à distance, qui aurait accès à mes dossiers pour y créér les fichiers exe que mon antivirus decouvre aussitôt ? Je dis çà parce que je sais ne pas etre le seul infecté sur le reseau et surtout que je ne trouve pas de trace de ce virus sur mon ordinateur !
Marsh Posté le 28-05-2005 à 18:02:43
C'est pas impossible, certainement une piste à étudier. Tiens nous au courant de tes investigations.
Marsh Posté le 28-05-2005 à 19:28:24
J'ai fait un reseau wifi avec l'ordi de mon frere, toujours pas de virus en vue, c'est à dire que je laisse tomber l'hypothese du : le virus est sur mon ordi mais n'intervient que quand il y a reseau !
Il ne me reste donc que l'hypothese : le virus est sur un ordinateur distant appartenant au reseau de mon ecole et intervient donc quand je suis connecté au reseau.
Je pense que je validerai l'hypothese quand je me reconnecterai lundi et que le virus reviendra !
Marsh Posté le 30-05-2005 à 16:01:07
Voilà je pense la fin de l'histoire :
-Aujourd'hui retour sur le reseau ou je me fais agresser : Kapersky me bloque des attaques à distance, là ou avast laissait passer et signalait un virus après, la boucle est donc bouclée, il faut que je récupere l'ip de l'assaillant, et ca devrait etre bon (j'ai toujours considéré avast un cran au dessus des antivirus classiques, maintenant je mets Kaspersky encore au-dessus)
Marsh Posté le 05-06-2005 à 11:45:19
Aaaaaaaaah les anti-virus....
J'avais Kaspersky 5.1..(avant Norton) LOL, il bloquait des attaques, de worms diverses comme : (flt1chsf.exe virus trojan-spy.win32.banker.so F1224199d01 est bloqué) et C:\WINDOWS\system32\TFTP2788 est une backdoor Backdoor.Win32.SdBot.yx 30/05/2005 18:56:50
C:\WINDOWS\system32\TFTP2788 supprimé 30/05/2005 18:57:21
et :
eraseme_81713.exe est bloqué.L'objet est un backdoor.win32.sdbot.xd.
et : backdoor.win32.codbot.ad
et: MSIXEC32.exe
dans c:\windows\system32
et MS DTC console program 2001.12
dans c:\WINDOWS\system32\msdtc.exe
Il est conseillé de supprimer cet objet.
à chaque reboot ça revenait...
Virus:W32/Sdbot.ftp kapersky n'a pas su s'en débarasser, à chaque reboot ça réapparaîssait.
J'ai désintallé Kaspersky, ainsi que Mc afee fire wall...
Mais l'ordi était déjà contaminé, ralentissement tel, que l'ordi n'était plus opérationnel. Programme qui déconnait, du genre impossible de sauver dans paint, Adobe, et "ctrl,alt,delete," ne s'ouvrait plus, sauf en icone en bas à droite...bref je galèrait.(Euhh, un scan de Panda en ligne m'a détecté 4 virus...Kaspersky 1 seul)
Virus:Bck/Sdbot.DSW Disinfected C:\WINDOWS\system32\MSIXEC32.exe désinfecté>.
Résultat scan Panda...
Incident Status Location
Adware:Adware/WUpd No disinfected C:\Program Files\windows adstatus
Adware:Adware/ExactSearch No disinfected Windows Registry
Virus:HackTool/Gendel.A No disinfected C:\gendel32.exe
Virus:Trj/Zapchast.D Disinfected C:\WINDOWS\system32\c.bat
J'ai désinfecté pas mal de truc manuellement avec regedit...
et refait un scan Panda...
Incident Status Location
Virus:Bck/Sdbot.DSW Disinfected C:\WINDOWS\system32\MSIXEC32.exe
refait un autre...
Incident Status Location
Virus:W32/Sdbot.ftp No disinfected C:\WINDOWS\system32\i
celui-là..particulièrement têtu...
jamais trouvé ce fameux "i"
Bref...spysweeper, Ad-Aware, Spyboot, Spykiller...et tout ce qu'on veut...
Euh, j'ai fini par acheter une licence F-secure Internet Security 2005...ben ça fait la totale
Mon ordi fonctionne et est clean...j'ai eu encore un peu de soucis avec la ligne 010 de Hijackthis, mais c'est résolu....
Alors, quoi..Kaspersky 5.1 est le meilleur ? Mouaiss,
J'étais à 1 micron du reformat...comme beaucoup conseillent
Et bien j'ai pas reformater...j'ai persévérer, grâce au conseils de ce forum et de nombreux spécialistes..Euhh, comme quoi de "la persévérance" est indispensable !
Mais que l'on ne me chante plus que Kaspersky est le meilleur...
Marsh Posté le 25-05-2005 à 16:01:01
Bonjour tout le monde
J'ai eu la joie de me faire lacher par mon Kerio sans que je le voie et comme par hasard j'ai un virus qui est arrivé
Le probleme etant pas de le supprimer mais de le nommer.
Mon avast antivirus dans "nom" l'appelle Win32/Roron, alors j'ai essayé un F-roron pour fixer le virus mais il n'a rien trouvé !
Voici le symptome visible :
apparament il me créer un dossier "Documents" dans DocumentsAndSettings/All Users, et il y met de temps en temps des exe de sexe, mon antivirus intervient toujours pour des "kamasutra.exe" ou "analjesaispaskoi.exe"
Ca me fait 2-3 alertes par jour, le dossier n'existe evidemment pas en dehors des alertes !
Donc voilà si vous pouviez m'aider à y mettre un nom, parce que je trouve pas !
Merci d'avance
Bye