Besoin d'aide pour un virus qui me gâche la vie !
Besoin d'aide pour un virus qui me gâche la vie ! - Sécurité - Windows & Software
Marsh Posté le 04-12-2006 à 17:55:31
Salut.
Il faut faire un pré-nettoyage de ta machine avant d'envisager quoi que se soit, à savoir télécharger et installer ad aware, spybot search & destroy, AVG anti spyware, CCleaner (gratuits) et organiser des scans avec chacuns d'eux en mode sans echec pour optimiser le nettoyage, faire des scans antivirus en ligne (tu trouveras les liens de chacuns de ces logiciels + liens pour scans AV online dans ce forum).
Si aprés ça, t'es toujours infecté, tu télécharges hijickthis http://www.merijn.org/files/hijackthis.zip
tu le dezippes dans un répertoire dédié par exemple C:\hijickthis; rentre dans le répertoire, clique sur hijickthis.exe, sur Do a system scan and save a logfile, à la fin du scan (c'est rapide), le bloc-notes s'ouvre, tu fais un copier-coller de tout son contenu que tu postes ici.
A+.
Message édité par fal_du31 le 04-12-2006 à 18:02:23
Marsh Posté le 05-12-2006 à 14:30:05
Merci 
j'ai tout essayé !
voilà le log HiJickthis
| Citation : Logfile of HijackThis v1.99.1 |
Marsh Posté le 05-12-2006 à 20:22:35
Salut.
J'ai besoin de savoir quel est ton FAI, car le serveur DNS pointe vers une IP d'Afrique : Agence Tunisienne Internet (en général, les @ IP des serveurs DNS sont détournés vers l'Ukraine).
En attendant, clique sur hijackthis.exe puis sur Do a system scan only.
coche ces lignes :
- Toutes les lignes 01 (une cinquantaine).
- Je vois aussi que t'es derriere un proxy : tu n'aurais pas installé un logiciel anonymizer par hazard ou passes-tu par un proxy quand tu surfes? si ce n'est pas le cas, coche
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.21.50.190:80
- R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
- O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
- O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - (no file)
- O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - (no file)
- O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
- O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer)
Ferme toutes les fenêtres ouvertes (explorer, IE,....) et clique sur "Fixe checked" en bas.
Ferme et réouvre Hijickthis, clique sur "Open the misc Tool Section", puis sur "Delete an NT Service", dans la fenêtre qui s'ouvre, colle exactement ce texte : Mouse Hardware Sync (mousehs) puis clique sur OK.
Télécharge SmitfraudFix : http://siri.urz.free.fr/Fix/SmitfraudFix.zip sur ton Bureau.
Dézippe-le entièrement sur le bureau en cliquant-droit sur SmitFraudFix.zip et choisit extraire vers Smitfraudfix/.
Déconnecte-toi du net.
Ouvre le dossier SmitFraudFix puis double-clique sur smitfraudfix.cmd
Sélectionne 1, appuie sur la touche entrée dans le menu pour créer un rapport des fichiers responsables de l'infection.
Ouvre le rapport qui se situe à la racine de C (C:\rapport.txt) et colle-le dans ta prochaine réponse avec le log d'un nouveau scan Hijackthis (donc 2 choses : rapport.txt + hijackthis.log).
A+.
Message édité par fal_du31 le 05-12-2006 à 20:28:20
Marsh Posté le 06-12-2006 à 00:04:53
WAW ! (merci d'avoir pris le temps de me répondre)
J'ai fais exactement ce que tu m'a recommandé, seul problème, j'ai pas pu exécuté l'étape de "Mouse Hardware Sync (mousehs)", un message d'erreur du genre "mousehs est en cous d'exécution, désactiver ou supprimer le avant".
Sinon, Rapport de SmitFraudFix :
| Citation : |
Rapport de HiJickThis
| Citation : |
Marsh Posté le 09-12-2006 à 15:40:05
Salut.
Désolé pour le retard.
Tu est bien infecté par au moins un trojan Troj/Bdoor-HU (service Mouse Hardware Sync (mousehs)) exploitant une faille de sécurité (comme ton OS n'est pas à jour, ce n'est pas étonnant) (Cf Microsoft Security Bulletin MS04-011).
Fait démarrer, exécuter, tapes services.msc, entrée et localise Mouse Hardware Sync (mousehs), clique 2 fois dessus, si le statut du service est démarré alors, tu clique sur arrêter, à type de démarrage, tu choisis désactiver, en bas tu cliques sur appliquer et OK.
Ensuite, tu ouvres Hijickthis, clique sur "Open the misc Tool Section", puis sur "Delete an NT Service", dans la fenêtre qui s'ouvre, colle exactement ce texte : Mouse Hardware Sync (mousehs) puis clique sur OK.
Tu n'as pas répondu à ma question :
| Citation : J'ai besoin de savoir quel est ton FAI |
car ton DNS pointe vers Agence Tunisienne Internet (si tu vis en Tunisie, alors c'est OK).
et j'ai plusieurs questions à te poser :
- A tu fixé la ligne 017 avec Hijickthis ? (fallais pas sinon).
- A tu désinstaller Norton car je ne le vois pas en process mais en service (SNDSrvc.exe): si c'est un reliquat, je te conseille de le désinstaller correctement pour eviter tout conflit avec avast et eventuellement ton pare-feux http://service1.symantec.com/SUPPO [...] =&osv_lvl=
- A tu un pare-feux logiciel installé (apparement non) ou un routeur ou ta FAIBox configuré en mode routeur?
Si ce n'est pas le cas, installe un pare-feux genre Zone Alarm sinon tu seras de nouveau infecté (c'est d'autant plus risqué car ton OS n'est pas à jour).
- A tu installé ET mis à jour (si t'as oublié de mettre à jour les définitons virales alors les scans ont été inutiles) tous les logiciels que je t'avais demandé (AVS, Spybot ...) et fais des scans en mode sans echec avec chacun d'eux.
- A tu fais des scans antivirus en ligne (au moins avec 1 comme Bitdefender http://www.bitdefender.fr/scan8/ie.html
clique sur "J'accepte" et accepte le contrôle ActiveX (une fenêtre s'ouvre, tu cliques sur oui et tu laisses le télécharger) : tu fais un scan de tous tes disques durs : tu ne postes les resultats des analyses seulement si la désinfection ou la suppression des fichiers infectés n'a pas fonctionnée.
Aprés, tu démarres en mode sans echec (comme tu n'a pas accés au net, fais un copier-coller de ce texte que tu sauvegardes sur le bureau.) et tu choisis ta session :
- Ouvre le dossier SmitFraudFix puis double-clique sur smitfraudfix.cmd
- Sélectionne 2 puis appuie sur Entrée pour supprimer les fichiers infectés.
- A la question: Voulez-vous nettoyer le registre ? répondre O (oui)
Sauvegarde le rapport que tu posteras dans ta prochaine réponse avec un nouveau rapport Hijickthis.
A+.
Message édité par fal_du31 le 09-12-2006 à 15:42:44
Marsh Posté le 12-12-2006 à 19:03:31
Merci pour ta réponse
Alors :
- Oui je vis en Tunisie, donc c'est normal que mon FAI pointe vers une agence Tunisienne.
- Je me rappel pas avoir fixé une ligne à part celles que tu m'a conseillé de fixer, est-ce grave ? est-ce récupérable ?
- C'est bon pour norton, j'ai utilisé le logiciel dont tu m'a recommandé et ça s'est fait avec succès.
- J'ai pas de pare-feux, je télécharge ZoneAlarm.
- J'ai mis à jour mon Avast, Spybot et adware, j'ai fais avec des sanc en mode sans échecs et j'ai supprimé quelques fichiers recommandés par ces logiciels.
- Le scan de bitdefender se bloque...
- C'est bon pour SmitFraudFix
en voilà les rapports de SmitFraudFix et HiJickThis en mode sans échec après toutes les étapes :
| Citation : SmitFraudFix v2.128 |
| Citation : Logfile of HijackThis v1.99.1 |
Merci encore une fois pour ton aide... j'attend ta réponse
Marsh Posté le 17-12-2006 à 01:45:49
Salut.
Désolé pour le retard.
T'es vraiment infecté donc j'insiste pour les scans en ligne.
Mais avant ça, installe Zone Alarm si ce n'est pas déjà fait : j'insiste vraiment.
Aprés l'install au boot suivant, avast indiquera un message de conflit entre avast et ZA, désactive le module avast en question (doublon avec ZA).
lien pour tuto (installation et configuration) :
http://forum.telecharger.01net.com [...] ges-1.html
Cela dit, il y a une grave erreur de paramétrage concernant internet explorer, car il lui accorde des droits serveur; quelques applications ont besoins de droits serveur : generic host process, les méssageries, les logiciels VoIP (de manière générale, toute application désirant légitimement se connecter depuis l'exterieur) donc IE n'en fait pas partie.
Je te donne un conseil : pour le moment et tant que t'es infecté, n'autorise seulement que tes logiciels de sécurité, ton browser (IE, Firefox...) à acceder au net et quant aux autres applications, tu refuses systématiquement (surtout les logiciels aux noms exotiques).
Tu pourras par la suite reparamétrer les droits d'accés.
Pour bitdefender comme pour tout scan en ligne, ça peut être normal s'il bloque : au début pour télécharger le moteur de recherche et la base de signatures virales et quand il scanne une archive (cab, zip, rar...) donc il faut le laisser faire même si le scan à l'air d'être long.
Trés important, j'ai oublié de te dire de désactiver la restauration système (si tu ne sais pas comment faire, cherche avec Grogle), tu la réactivera quand ton PC sera clean.
Autre chose, avant de faire un scan antivirus en ligne, désactive momentanement Avast pour accélérer le scan en ligne (clique-droit sur le "a" de la zone de notification - à côté de l'horloge - et choisis "Arrêter la protection résidente" ).
D'abord, télécharge Java si tu ne l'a pas : http://www.java.com/fr/ (clique plusieurs fois sur télécharger).
Ensuite, quelques liens de scans antivirus et antispyware (il faut les faire, c'est obligatoire) en acceptant les ActiveX sinon ça ne marche pas :
http://www.kaspersky.com/virusscanner
Clique sur Kaspersky online scaner puis sur My computer et à la fin, tu fais une sauvegarde du rapport d'infection que tu postes dans ta prochaine réponse.
Réessaye avec Bitdefender
Un bon scan antispyware :
http://www.trendmicro.com/spyware- [...] e_scan.asp
Sinon, on va voir si tu n'a pas de rootkit :
Télécharge Blacklight (de F-Secure) et sauvegarde-le sur ton Bureau.
https://europe.f-secure.com/blacklight/try.shtml
Clique sur "I ACCEPT" au bas de la page. Sauvegarde-le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
Tu verras peut-être, une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse.
Puisque t'était infecté par SideFind d'IST, télécharge FxIstbar.exe http://securityresponse.symantec.c [...] Istbar.exe , ne le lance pas de suite, on s'en servira en mode sans echec.
Redémarre en mode sans echec en choisissant ta session.
Ouvre hijickthis et recoche si elle y est
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.21.50.190:80
Elle est revenue, à mon avis tu dois être infecté par un trojan proxy.
Ferme Hijackthis.
Rendre tous les fichiers visibles : démarrer, panneau de configuration, dans option des dossiers, onglet affichage, clique sur "afficher les fichiers et dossiers cachés" et décoche "masquer les fichiers protégés du système d'exploitation".
Recherche dans le disque dur les fichiers "rasphone.pbk" sans guillemet, les ouvrir avec le bloc-notes et chercher les lignes suvantes :
IpDnsAddress =
IpDns2Address =
IpNameAssign =
(les laisser vide comme en haut en effaçant au besoin les adresses IP se trouvant aprés le = , donc tu n'effaces pas les lignes)
Ensuite tu enregistres les modifications faites au fichier.
Démarrer, executer, cmd, entrée.
Dans la fenêtre créee, tape cd\ puis entrée.
Ensuite tape ipconfig /flushdns (espace entre les 2) puis entrée : 1 message devrait apparaître informant que le cache DNS a été vidé.
Lance FxIstbar.exe.
Tu redémarres en mode normal et tu postes
- 1 nouveau rapport d'hijickthis
- le rapport d'infection de Kaspersky online
- le rapport sur ton bureau nommé fsbl.xxxxxxx.log.
Dis-moi si FxIstbar.exe a trouvé des entrées infectés (si un log est crée, poste-le).
A+.
Marsh Posté le 30-12-2006 à 01:54:50
Bonjour,
désolé pour la réponse tardvie j'étais en voyage d'affaire à Paris.
Alors :
- J'ai tout fait à la lettre, sauf que j'ai encore eu un problème avec les scanner en ligne 
ça me bloque mon PC !
Rapport de HiJickThis :
| Citation : Logfile of HijackThis v1.99.1 Running processes: R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens |
Message édité par Cartha le 30-12-2006 à 01:56:00
Marsh Posté le 30-12-2006 à 01:57:10
Rapport de fsbl :
| Citation : 12/22/06 18:50:21 [Info]: BlackLight Engine 1.0.47 initialized |
Message édité par Cartha le 30-12-2006 à 01:59:00
Marsh Posté le 30-12-2006 à 01:58:17
Rapport de FxIstBar : (p.s: un message était affiché: "pas de Bar installé sur ton pc" ou un truc de ce genre)
| Citation : Symantec Adware.Istbar / Trojan.ISTsvc Removal Tool 1.1.0 |
p.s: J'ai également installé ZoneAlarm et mis à jour mon anti-virus, spybot et adware.
Je ne cesserai pas de te remercier pour ton aide préciseuse, ta disponibilité et ta gentiellese.
En attendant ton reply je te souhaite une agréable fin de soirée
Marsh Posté le 04-01-2007 à 20:11:34
Salut.
C'est toi qui a placé des setup dans ce répertoire c:\Documents and Settings\Propriétaire\Mes documents\Wassim\Programmes et autres en mode caché ? (j'en vois pas l'interêt mais bon).
on va essayer un autre anti-rootkit : http://download.sysinternals.com/F [...] vealer.zip : tu le dézippe et tu cliques : à la fin, tu cliques sur file, save et sauvegarde le fichier pour la prochaine réponse.
Pour fixistbar, il a éffacé des reliquats dans le registre (il l'a néttoyé quand même) mais pas de fichier.
Il y a un problème : si tu n'arrives pas à faire un scan online antivirus, alors on avance à l'aveuglette (dis-moi exactement où ça bloque : au moment du téléchargement du contrôle activeX, au niveau du scan -un explorateur windows s'ouvre et le scan commence avec les fichiers scanés qui défilent-).
En attendant, fais un scan antivirus avec eScan, en suivant ces instructions :
Étape 1:
Crée un dossier que tu vas nommer Sysclean Package dans C:\Program Files par exemple.
Étape 2:
Télécharge Sysclean Package : http://www.trendmicro.com/ftp/prod [...] sclean.com
et enregistre-le dans le dossier que tu viens de créer.
Étape 3: Mise à jour.
Rends toi à la page suivante : http://www.trendmicro.com/download/pattern-cpr.asp
et accepte le disclaimer en cliquant sur I Accept.
Une nouvelle fenêtre vas s'ouvrir:télécharge le fichier nommé lptXXX.zip (ou X représente la version du fichier,c'est le premier de la liste.),et dézippe le dans le dossier que tu viens de créer.
tu dois placer le fichier sysclean.com dans le repertoire de l'archive dézipper c'est-à-dire dans lptxxx, sinon ça ne marche pas.
Étape 4:
Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".)
Choisir le compte usuel (et non Administrateur).
Étape 5: fais un copier-coller des instructions suivantes dans un fichier texte que tu sauvegardes dans le bureau pour consultation en mode sans echec.
Lance le fichier "Sysclean" par un double clic. Une fenêtre nommée "Trend Micro Sysclean Package" va s'ouvrir.
coche la case "Automatically clean or delete detected files"
Clique sur le bouton Scan
Patiente le scan peut prendre du temps!
Une fois le scan terminé, clique sur le bouton View Log .Sauvegarde le rapport au format texte qui a été généré.
Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
Dis-moi si tu sents une amélioration (mise à part les icones) et si ça bloque toujours.
A+.
Sujets relatifs:
- help me virus
- VIRUS - windows bloqué au bout de qq minutes
- Aide sur Norton Ghost 10
- Message d'erreur au demmarrge. Besoin d'un peu d'aide
- de l aide j ai tout perdu
- Au secours ! J'ai un virus !
- [ windows ] virus et spywares à nettoyer
- virus help
Marsh Posté le 04-12-2006 à 11:17:32
Bonjour,
qui change tout le temps les icônes de ma barre du lancement rapide, n'affiche pas les icônes de la zone de notification... me bloque souvent le PC.
j'ai choppé depuis quelques temps un virus ou un ver ou je ne sais pas quoi
J'ai Avast comme antivirus, j'ai fait un scan complet mais il n'a rien trouvé.
Est-ce que quelqu'un a une idée ? comment puis-je résoudre ce problème qui me laisse pas travailler du tout !
Merci pour votre aide qui me sera très préciseuse.
En attendant vos réponse je vous souhaite une agréable fin de journée