[virus] aidez moi à mettre un nom sur mon virus

aidez moi à mettre un nom sur mon virus [virus] - Sécurité - Windows & Software

Marsh Posté le 25-05-2005 à 16:01:01    

Bonjour tout le monde
J'ai eu la joie de me faire lacher par mon Kerio sans que je le voie et comme par hasard j'ai un virus qui est arrivé  :)  
Le probleme etant pas de le supprimer mais de le nommer.
Mon avast antivirus dans "nom" l'appelle Win32/Roron, alors j'ai essayé un F-roron pour fixer le virus mais il n'a rien trouvé !
 
Voici le symptome visible :
apparament il me créer un dossier "Documents" dans DocumentsAndSettings/All Users, et il y met de temps en temps des exe de sexe, mon antivirus intervient toujours pour des "kamasutra.exe" ou "analjesaispaskoi.exe"
Ca me fait 2-3 alertes par jour, le dossier n'existe evidemment pas en dehors des alertes !
 
Donc voilà si vous pouviez m'aider à y mettre un nom, parce que je trouve pas !  :p  
 
Merci d'avance
Bye

Reply

Marsh Posté le 25-05-2005 à 16:01:01   

Reply

Marsh Posté le 25-05-2005 à 16:02:18    

desactive la restauration du systeme !!

Reply

Marsh Posté le 25-05-2005 à 16:06:12    

les virus arrive rarement tout seul ;)
 
 
Sinon as tu utiliser un autre antivirus pour déterminer ton virus
de nombreux antivirus propose un scan online (comme www.secuser.com  ou norton antivirus )


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 25-05-2005 à 16:09:57    

Desactiver la restauration du systeme ca donne quoi ? si mon virus me pourrit tout je pourrait pas restaurer !?
 
Sinon j'ai essayé le secuser.com mais je suis derriere un proxy et il veut pas !

Reply

Marsh Posté le 25-05-2005 à 16:11:44    

il y a des virus qui se planquent dans la restauration du systeme, donc quoique tu fasses ils reapparaitront ....
A toi de voir soit tu perds ton historique de restauration systeme, soit tu gardes ton virus !!
 
rien ne t'empeche de la reactiver apres avoir nettoyé ton pc !!!


Message édité par Dob777 le 25-05-2005 à 16:19:50
Reply

Marsh Posté le 25-05-2005 à 16:15:14    

je crois avoir trouvé ton virus il s'agit d'un ver nommé W32/Oror-R

Reply

Marsh Posté le 25-05-2005 à 16:18:04    

tu peux regarder ce lien si tu veux http://www.sophos.fr/virusinfo/analyses/w32ororr.html
 
il s'agit en fait d'un ver de la famille W32/Oror-Fam:
http://www.sophos.fr/virusinfo/ana [...] orfam.html

Reply

Marsh Posté le 25-05-2005 à 16:22:26    

malheureusement Oror est un autre nom de Roron !
Enfin je te remercie, je suis content d'avoir trouvé une description du virus qui correspond à mes symptomes !:)
Maintenant il faut que je trouve un Fix-Roron Fix-Oror qui le trouve (je vais desactiver la resto systeme aussi );-)

Reply

Marsh Posté le 25-05-2005 à 16:24:59    

http://www.sophos.fr/virusinfo/analyses/w32ororr.html
 
et tu clique sur désinfection, ya la méthode manuelle


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 25-05-2005 à 16:26:01    

merci je venais de le voir j'essaie et je vous mets au courant !

Reply

Marsh Posté le 25-05-2005 à 16:26:01   

Reply

Marsh Posté le 25-05-2005 à 16:26:45    

Bonjour, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip
 
Important: Installer Hijackthis correctement  
L’installer sous C:\Hijackthis par exemple (pas dans un fichier temp)
 
Scan/save log (rapport)/copier&coller le contenu du rapport ici
 
Tutorial pour l’installation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm

Reply

Marsh Posté le 25-05-2005 à 18:56:27    

mon log :
 
Logfile of HijackThis v1.99.1
Scan saved at 18:53:02, on 25/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Program Files\Alias\Maya6.0\docs\Wrapper.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Alias\Maya6.0\docs\jre\bin\java.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\ESB.exe
C:\WINDOWS\System32\4mtcsb.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinTV\WinTV2K.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Hijackthis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = oscar.ens.insa-rennes.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe
O4 - HKLM\..\Run: [4mtcsb] C:\WINDOWS\System32\4mtcsb.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ChrisTV Agent] "C:\Program Files\ChrisTV Lite\ChrisTV_Agent.exe"
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 7508437527
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O23 - Service: Alias Documentation Server (aliasdocserver) - Unknown owner - C:\Program Files\Alias\Maya6.0\docs\Wrapper.exe" -s "C:\Program Files\Alias\Maya6.0\docs/Wrapper.conf (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
 
 
Merci de m'aider, sinon j'ai aussi ewido/spybot/adaware si ca peut vous aider à m'aider
Merci
Bye

Reply

Marsh Posté le 25-05-2005 à 19:43:35    

Bonjour, il a deux lignes qui m'intriguent: je n'ai pas trouvé d'information. Je te propose donc de les neutraliser (si problème backup avec Hijackthis):
 
1 Démarre Hijackthis Do a system scan, assure toi que l'option Make backups before fixing items est activée et coche les lignes suivantes:
 
O4 - HKLM\..\Run: [4mtcsb] C:\WINDOWS\System32\4mtcsb.EXE
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll  
 
Ferme tous les programmes toutes les fenêtres puis Fix checked.
 
2 Installe SpywareBlaster:
http://www.javacoolsoftware.com/downloads.html
Son tuto:
http://www.ordi-netfr.org/tutorialspywareblaster.html
 
3 Fais un scan en ligne sur Panda:
http://www.pandasoftware.com/produ [...] ncipal.htm
Communique le résultat
 
4 Tu peux également paramétrer Spybot ainsi:
 
Mode> Choisir Avancé> Outils (en bas à gauche)> Coche fichier Hosts> Clique fichier Hosts (menu déroulant à gauche)> Clique sur la croix verte
 

Reply

Marsh Posté le 26-05-2005 à 11:53:25    

J'ai fait tout ce que t'as dit :
PandaSoftware ne me trouve pas de virus !
Et pourtant j'ai toujours ces fichiers qui se créént. Apparement Il n'y en a pas d'autre trace entre deux creations de .Exe, donc les antivirus le trouve pas !
Que faire ?

Reply

Marsh Posté le 26-05-2005 à 19:33:08    

Bonsoir, télécharge cet utilitaire Silent runners
 
http://www.silentrunners.org/Silent%20Runners.zip
 
Une fois téléchargé, tu le dézippes dans un dossier dédié.
Puis tu double cliques sur ce fichier, il va travailler, patiente jusqu'à l'affichage d'un message.  
Un log est généré dans le même dossier, colle le log ici.  

Reply

Marsh Posté le 27-05-2005 à 22:01:10    

Voici mon log, si vous pouvez en tirer quelque chose :) :
 
 
Startup items buried in registry:
---------------------------------
 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MessengerPlus3" = ""C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart" ["Patchou"]
"msnmsgr" = ""C:\Program Files\MSN Messenger\msnmsgr.exe" /background" [MS]
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"IgfxTray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"]
"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"ESB" = "C:\WINDOWS\System32\ESB.exe" [empty string]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot" ["RealNetworks, Inc."]
"MessengerPlus3" = ""C:\Program Files\Messenger Plus! 3\MsgPlus.exe"" ["Patchou"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"mmtask" = "c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe" ["TODO: <Company name>"]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"DAEMON Tools-1033" = ""C:\Program Files\D-Tools\daemon.exe" -lang 1033 -noicon" ["DAEMON'S HOME"]
"SunJavaUpdateSched" = "C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe" [null data]
"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS]
"ChrisTV Agent" = ""C:\Program Files\ChrisTV Lite\ChrisTV_Agent.exe"" [file not found]
"ZCfgSvc.exe" = "C:\WINDOWS\system32\ZCfgSvc.exe" ["Intel Corporation"]
"PRONoMgr.exe" = "C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" ["Intel(R) Corporation"]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{C333CF63-767F-4831-94AC-E683D962C63C}\(Default) = "TGTSoft Explorer Toolbar Changer"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll" [null data]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\OpenOffice.org1.1.2\program\shlxthdl.dll" ["Sun Microsystems, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{C1E0F698-96DC-11d3-89DC-00C04F79B2C0}" = "SolidEdgeQuery"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Solid Edge\Program\QuerySE.dll" ["Unigraphics Solutions, Inc."]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]
 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]
 
HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
 
 
Enabled Active Desktop and Wallpaper:
-------------------------------------
 
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Leroy Seb\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
 
 
Winsock2 Service Provider DLLs:
-------------------------------
 
Namespace Service Providers
 
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 
Transport Service Providers
 
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
 
 
Toolbars, Explorer Bars, Extensions:
------------------------------------
 
Dormant Explorer Bars in "View, Explorer Bar" menu
 
HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\
(Default) = "&Rechercher"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]
 
Extensions (Tools menu items, main toolbar menu buttons)
 
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS]
 
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherche"
 
 
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
 
Alias Documentation Server, aliasdocserver, ""C:\Program Files\Alias\Maya6.0\docs\Wrapper.exe" -s "C:\Program Files\Alias\Maya6.0\docs/Wrapper.conf"" [null data]
avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
ewido security suite control, ewido security suite control, "C:\Program Files\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Program Files\ewido\security suite\ewidoguard.exe" ["ewido networks"]
Kerio Personal Firewall 4, KPF4, ""C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe"" ["Kerio Technologies"]
RegSrvc, RegSrvc, "C:\WINDOWS\system32\RegSrvc.exe" ["Intel Corporation"]
SmartLinkService, SLService, "slserv.exe" [" "]
Spectrum24 Event Monitor, S24EventMonitor, "C:\WINDOWS\system32\S24EvMon.exe" ["Intel Corporation "]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
 
Merci beaucoup
D'ailleurs j'y vois deux infection warning, mais çà je le savais déjà, maintenant comment le reparer ???  :lol:


Message édité par skyh_ead le 27-05-2005 à 22:03:15
Reply

Marsh Posté le 27-05-2005 à 22:15:21    

Bonne question...

Reply

Marsh Posté le 27-05-2005 à 22:22:54    

Je sais vraimetn pas quoi faire de ces dll, je peux pas vraiment les reparer, je peux pas non plus les supprimer ! :(
 
D'ailleurs qui sait ce qu'est le igfxsrvc.dll ?
Je dis ca parce que j'ai telechargé les drivers pour reussir à faire marcher ma carte wifi le jour meme ou la veille de mon agression. je vois pas le rapport avec le virus  :lol:  mais bon un truc Intel Corporation, enfin bon je commence à etre desespéré  :heink:


Message édité par skyh_ead le 27-05-2005 à 22:33:02
Reply

Marsh Posté le 27-05-2005 à 22:41:47    

(d'ailleurs comment comprendre que Ewido soit annoncé infecté ?)

Reply

Marsh Posté le 27-05-2005 à 22:58:09    

Re, j'ai regardé le rapport sous toutes les coutures je n'ai rien trouvé.  
igfxsrvc.dll est ajouté par Intel et c'est légitime, de même que MSOXMLMF.DLL...  
Si elle sont réellement infectées (j'ai des doutes) la première peut se neutraliser avec Hijackthis:
 
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll  
 
En mode sans échec, pour la seconde:
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
MSOXMLMF.DLL la renommer en MSOXMLMF-DLL.anc ( extension tiret point anc) si problème faire l'opération inverse, sachant qu'elle est téléchargeable.
 
Sous réserve mais comme ces fichiers ne sont pas supprimés, il est toujours possible de les retrouver. Bonne chance: là je cale...


Message édité par stonangel le 27-05-2005 à 22:58:52
Reply

Marsh Posté le 27-05-2005 à 23:03:23    

Bah merci, mais bon j'y crois pas trop !
De toutes facons le virus restera quelquepart dans le registre à creer ses merdes de fichiers !

Reply

Marsh Posté le 28-05-2005 à 00:14:54    

salut cette 020 est legitime il faut pas la virer


---------------
la chasse et le balltrap une vrai passion http://www.florensac-chasse-trap.com/
Reply

Marsh Posté le 28-05-2005 à 10:08:34    

Ca me rappelle une belle histoire de galère, des journées perdues à essayer de désinfecter avec tout ce qui existe gratos en anti-spyware, anti-virus, et tout ce qu'on peut imaginer....j'avais Norton (viré), puis Avast, puis je me suis rendu compte que mon ordi était une passoire, j'étais à 1 micron du formatage. Puis j'ai suivi un conseil, sur ce forum, d'ailleurs, j'ai acheté Kaspersky 5.1, il ne lui a pas fallu 60 minutes pour désinfecter toute la machine (+ de 75 bestioles diséminées sur mes 4 partitions.... :sol:
Je ne crois pas qu'il existe une meilleure solution, à toi de voir...
 PS:  
Et j'ai pas du reformater.... :pt1cable:  
 :hello:


Message édité par philo2 le 28-05-2005 à 10:11:45
Reply

Marsh Posté le 28-05-2005 à 10:18:08    

Kapersky... il est bien ?

Reply

Marsh Posté le 28-05-2005 à 13:46:50    

Bonjour, tu as combien de sessions utilisateurs ouvertes?

Reply

Marsh Posté le 28-05-2005 à 13:46:56    

Kapersky ?
Il est vraiment superieur ? Parce que j'arrive pas vraiment à me rendre compte des differences entre chaque et des rapports qualité/prix ! :)
 
De sessions utilisateurs ouvertes ?  :heink:  
Si ca veut dire le nombre d'utilisateurs créés sur mon ordi, un seul ! D'ailleurs depuis que j'ai le virus il me demande de choisir mon utilisateur (enfin juste de cliquer sur ma session quoi) au demarrage de windows !
Sinon c'est que j'ai pas compris la question


Message édité par skyh_ead le 28-05-2005 à 13:48:46
Reply

Marsh Posté le 28-05-2005 à 14:01:59    

Re, tu peux événtuellement télécharger la version d'évaluation de Kaspersky (30 jours)
 
http://www.kaspersky.com/fr/evalua [...] =146669797
 
Il arrive parfois que des problèmes soient générés par d'autres sessions que celle de l'utlisateur dont tu analyses le log. Je viens de voir ça sur un autre forum.
 

Reply

Marsh Posté le 28-05-2005 à 15:42:49    

Bon je lance une analyse kaspersky sans grands espors !


Message édité par skyh_ead le 28-05-2005 à 15:45:11
Reply

Marsh Posté le 28-05-2005 à 17:48:07    

Apres une analyse Kaspersky qui m'a trouvé un virus dans Avast, mais pas roron, j'en arrive à cette observation :
-j'ai fait 7 ou 8 scans total de mon pc de tous genres
-je n'ai plus aucun signe du virus depuis hier soir, date à laquelle je me suis debranché du reseau intra/internet de mon école !
 
J'en arrive à une conclusion : est-il possible qu'il n'y ait pas de virus à proprement parlé sur mon ordi, mais que je puisse être infecté par un virus à distance, qui aurait accès à mes dossiers pour y créér les fichiers exe que mon antivirus decouvre aussitôt ? Je dis çà parce que je sais ne pas etre le seul infecté sur le reseau et surtout que je ne trouve pas de trace de ce virus sur mon ordinateur !

Reply

Marsh Posté le 28-05-2005 à 18:02:43    

C'est pas impossible, certainement une piste à étudier. Tiens nous au courant de tes investigations.

Reply

Marsh Posté le 28-05-2005 à 19:28:24    

J'ai fait un reseau wifi avec l'ordi de mon frere, toujours pas de virus en vue, c'est à dire que je laisse tomber l'hypothese du : le virus est sur mon ordi mais n'intervient que quand il y a reseau !
Il ne me reste donc que l'hypothese : le virus est sur un ordinateur distant appartenant au reseau de mon ecole et intervient donc quand je suis connecté au reseau.
Je pense que je validerai l'hypothese quand je me reconnecterai lundi et que le virus reviendra ! :)

Reply

Marsh Posté le 30-05-2005 à 16:01:07    

Voilà je pense la fin de l'histoire :
 
-Aujourd'hui retour sur le reseau ou je me fais agresser : Kapersky me bloque des attaques à distance, là ou avast laissait passer et signalait un virus après, la boucle est donc bouclée, il faut que je récupere l'ip de l'assaillant, et ca devrait etre bon (j'ai toujours considéré avast un cran au dessus des antivirus classiques, maintenant je mets Kaspersky encore au-dessus)

Reply

Marsh Posté le 30-05-2005 à 16:07:03    

Merci pour le retour.

Reply

Marsh Posté le 05-06-2005 à 11:45:19    

Aaaaaaaaah les anti-virus....
J'avais Kaspersky 5.1..(avant Norton) LOL, il bloquait des attaques, de worms diverses comme : (flt1chsf.exe virus trojan-spy.win32.banker.so F1224199d01 est bloqué) et C:\WINDOWS\system32\TFTP2788 est une backdoor Backdoor.Win32.SdBot.yx 30/05/2005 18:56:50
C:\WINDOWS\system32\TFTP2788 supprimé 30/05/2005 18:57:21
et :
eraseme_81713.exe est bloqué.L'objet est un backdoor.win32.sdbot.xd.  
et : backdoor.win32.codbot.ad
et: MSIXEC32.exe
 
dans c:\windows\system32
 et MS DTC console program 2001.12
dans c:\WINDOWS\system32\msdtc.exe
 
Il est conseillé de supprimer cet objet.
à chaque reboot ça revenait...
 
Virus:W32/Sdbot.ftp kapersky n'a pas su s'en débarasser, à chaque reboot ça réapparaîssait.
J'ai désintallé Kaspersky, ainsi que Mc afee fire wall...
Mais l'ordi était déjà contaminé, ralentissement tel, que l'ordi n'était plus opérationnel. Programme qui déconnait, du genre impossible de sauver dans paint, Adobe, et "ctrl,alt,delete," ne s'ouvrait plus, sauf en icone en bas à droite...bref je galèrait.(Euhh, un scan de Panda en ligne m'a détecté 4 virus...Kaspersky  1 seul)
Virus:Bck/Sdbot.DSW           Disinfected                   C:\WINDOWS\system32\MSIXEC32.exe désinfecté>.
Résultat scan Panda...
 
Incident                      Status                        Location                                                                                                                                                                                                                                                        
 
Adware:Adware/WUpd            No disinfected                C:\Program Files\windows adstatus                                                                                                                                                                                                                                
Adware:Adware/ExactSearch     No disinfected                Windows Registry                                                                                                                                                                                                                                                
Virus:HackTool/Gendel.A       No disinfected                C:\gendel32.exe                                                                                                                                                                                                                                                  
Virus:Trj/Zapchast.D          Disinfected                   C:\WINDOWS\system32\c.bat                                                                                                                                                                                                                                        
J'ai désinfecté pas mal de truc manuellement avec regedit...
et refait un scan Panda...
Incident                      Status                        Location                                                                                                                                                                                                                                                        
 
Virus:Bck/Sdbot.DSW           Disinfected                   C:\WINDOWS\system32\MSIXEC32.exe  
refait un autre...
Incident                      Status                        Location                                                                                                                                                                                                                                                        
 
Virus:W32/Sdbot.ftp           No disinfected                C:\WINDOWS\system32\i  
   
celui-là..particulièrement têtu...
jamais trouvé ce fameux "i"
Bref...spysweeper, Ad-Aware, Spyboot, Spykiller...et tout ce qu'on veut...
Euh, j'ai fini par acheter une licence F-secure Internet Security 2005...ben ça fait la totale
Mon ordi fonctionne et est clean...j'ai eu encore un peu de soucis avec la ligne 010 de Hijackthis, mais c'est résolu....
Alors, quoi..Kaspersky 5.1 est le meilleur ? Mouaiss, :pfff:  
J'étais à 1 micron du reformat...comme beaucoup conseillent  :pt1cable:  
Et bien j'ai pas reformater...j'ai persévérer, grâce au conseils de ce forum et de nombreux spécialistes..Euhh, comme quoi de "la persévérance" est indispensable !
Mais que l'on ne me chante plus que Kaspersky est le meilleur... :D  
 :hello:  
 
 
 


Message édité par philo2 le 05-06-2005 à 12:07:04

---------------
Ce qui rend con, c'est de se croire intelligent...
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed