méchant virus/spy : impossible à supprimer ! PC très instable

méchant virus/spy : impossible à supprimer ! PC très instable - Sécurité - Windows & Software

Marsh Posté le 08-06-2006 à 00:52:59    

Bonsoir à tous.
 
Je viens de me chopper un bon virus/spy.  :fou:  
J'ai besoin de votre aide pour le virer. Je suis sous XP. Pas de SP, pas de maj, j'utilisais ce PC en attendant d'en recevoir un neuf. Oui je sais, c'est pas bien.  :o  
Le firewall très très basique de XP sans SP est activé quand même.
 
Certains symptomes faisaient penser à Sasser.  
Mais j'ai beau faire le scan avec l'outil anti-sasser et anti-blaster de chez symantec et f-secure, rien de mieux.
 
Voici les symptômes :

  • processus lsass monopolisant 95% du CPU
  • apparition sur le bureau d'une icône dont je n'ai plus le nom (je la supprime et elle revient de temps en temps)
  • impossible de désactiver ces services (dès que je les supprimes, ils réapparaissent aussitôt. Même si je supprime la clé entière) :

http://img126.imageshack.us/img126/1295/sanstitre1tc.th.jpg
http://img126.imageshack.us/img126/9282/sanstitre26ey.th.jpg

  • ralentissements du PC aléatoires
  • souvent je n'ai plus accès au gestionnaire des taches (l'icone apparait en bas dans la barre des taches mais disparait aussitot.)


Bref, c'est le beau bordel tout ça.  :fou:  
J'ai lancé Avast, mis à jour et fais un scan, ca n'a rien donné.  
Idem avec Ad-aware, mis à jour et scan, rien de concluant.
 
Comment rétablir l'ordre ? Merci beaucoup !  ;)
 
(avez-vous remarqué les noms bidons de softs dans la clé run ?)


Message édité par ixtrem84 le 08-06-2006 à 18:42:49
Reply

Marsh Posté le 08-06-2006 à 00:52:59   

Reply

Marsh Posté le 08-06-2006 à 09:39:06    

Bonjour a tous.
 
1/Télécharger SmitfraudFix (de S!Ri, balltrap34 et moel31) : http://siri.urz.free.fr/Fix/SmitfraudFix.zip
 
2/ Dézipper la totalité de l'archive sur ton bureau.
 
3/ Déconnecte toi du net.
 
4/ Double cliquer sur smitfraudfix.cmd
 
5/ Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
 
6/ Sauvegarde le rapport et colle le ici.

Reply

Marsh Posté le 08-06-2006 à 10:58:56    

merci de ta réponse !  ;)  
 
Voici le rapport :

Citation :

SmitFraudFix v2.56
 
Rapport fait à 10:54:49,95, 08/06/2006
Executé à partir de C:\Documents and Settings\Famille\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Famille\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin


 
A noter qu'il y a l'air d'avoir une acalmie, mais par contre j'ai toujours ces services bidons qui reviennent dès que je les supprimes... (du genre winzip.exe alors que je n'ai jamais installé ni utilisé winzip sur ce PC)

Reply

Marsh Posté le 08-06-2006 à 11:05:54    

Re
 
* Télécharge et installe F-Secure Blacklight  
 
http://www.europe.f-secure.com/exc [...] blbeta.exe
 
Installe le a la racine de C:.
 
* Double clique sur le fichier blbeta.exe
Accepte la licence puis clique enfin sur Scan
 
 
* Copie le contenu du log qui sera généré.
 
Tu peux consulter en cas de problemes le tutorial venant de Malekal_Morte :  
 
http://www.malekal.com/tutorial_f- [...] Light.html

Reply

Marsh Posté le 08-06-2006 à 11:24:07    

Voici le log. On dirait qu'il n'a rien trouvé.
 

Citation :

06/08/06 11:17:06 [Info]: BlackLight Engine 1.0.37 initialized
06/08/06 11:17:06 [Info]: OS: 5.1 build 2600 ()
06/08/06 11:17:07 [Note]: 7019 4
06/08/06 11:17:07 [Note]: 7005 0
06/08/06 11:17:10 [Note]: 7006 0
06/08/06 11:17:10 [Note]: 7011 1400
06/08/06 11:17:11 [Note]: 7026 0
06/08/06 11:17:12 [Note]: 7026 0
06/08/06 11:17:44 [Note]: FSRAW library version 1.7.1015
06/08/06 11:19:26 [Note]: 7007 0


 
Mon PC est utilisable pour l'instant, mais il risque de redevenir instable.
Et surtout, j'ai pas mal de processus que je vire et qui reveiennent du genre :
- tclock.exe
- peuptryo.exe
- mwrqvke.exe
- winzip.exe
 
C'est qu'il y a bien un truc qui cloche quelque part...  :(  
Mais pour l'instant le PC tourne pas trop mal, mais c'est sûr que si je pouvais virer ces saletés...  :)

Reply

Marsh Posté le 08-06-2006 à 16:33:06    

up!

Reply

Marsh Posté le 08-06-2006 à 18:32:28    

C'est très instable par moments.
 
Des processus se rajoutent encore :
- sql-dgm.exe
- chkntfs.exe
- type.exe
- anregw~1.exe
 
et tous me bouffent du CPU. Là pour l'instant c'est le dernier qui me bouffe entre 50 et 95 %.
 
SVP Aidez-moi !!

Reply

Marsh Posté le 08-06-2006 à 18:47:32    

Il y a des pubs qui s'affichent aléatoirement.
là c'était pour meetic...
 
Help me please !

Reply

Marsh Posté le 08-06-2006 à 20:50:59    

Scan en ligne avec bitdefender (http://www.bitdefender.fr/), télécharge HijakThis (http://merijn.org/) et met nous un log.

Reply

Marsh Posté le 08-06-2006 à 21:57:05    

avec bitdefender il n'a rien trouvé.
 
J'ai refait un scan avec Spybot, il m'a trouvé 2/3 spywares, mais sans résultat.
 
J'ai encore plein de processus qui se lancent (à ajouter aux autres) :
- readme.exe
- ezdihcf.exe
- autoit3.exe
- readfkoe.exe
- wgimmysmileysB.exe
- whipertrm.exe
 
C'est le bordel complet, c'est à la limite de l'utilisable, je ne sais même pas encore comment je fais pour écrire ce post.


Message édité par ixtrem84 le 08-06-2006 à 23:13:44
Reply

Marsh Posté le 08-06-2006 à 21:57:05   

Reply

Marsh Posté le 08-06-2006 à 22:10:03    

Voici le log hijackthis. comme vous pouvez le voir, y a plein de processus bidons qui ré-apparaissent dès qu'ils sont supprimés.
 
Même les valeurs dans les clés de la base de registre concernant le démarrage (run) réapparaissent instantanément quand je les supprimes.  :ouch:  
 

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 22:00:31, on 08/06/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\winzip.exe
C:\WINDOWS\System32\mwrqvke.exe
C:\WINDOWS\System32\peuptryo.exe
C:\WINDOWS\System32\icrbkah.exe
C:\WINDOWS\System32\jfmgufn.exe
C:\WINDOWS\sql-dgm.exe
C:\PROGRA~1\STEM~1\chkntfs.exe
C:\WINDOWS\PPATCH~1\ANREGW~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TClock\TClock.exe
C:\Program Files\InetGet2\wgimmysmileysB.exe
C:\Documents and Settings\Famille\Bureau\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {EF0F0D67-BEF2-E500-F7BA-E62C861A5C9A} - C:\WINDOWS\System32\wwc.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\winsock\csrss.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\winsock\csrss.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {EF0F0D67-BEF2-E500-F7BA-E62C861A5C9A} - C:\WINDOWS\System32\wwc.dll
O2 - BHO: Internet Explorer Web Content Catcher  - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Program Files\DNS\Catcher.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [AdobeReaderPro] winzip.exe
O4 - HKLM\..\Run: [Microsoft Anti-Spy] mwrqvke.exe
O4 - HKLM\..\Run: [Realtek Sound Managers] peuptryo.exe
O4 - HKLM\..\Run: [DRam prosesor] icrbkah.exe
O4 - HKLM\..\Run: [Registry Value Name] jfmgufn.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows TCP/IP Socket Driver] C:\WINDOWS\winsock\csrss.exe
O4 - HKLM\..\RunServices: [Microsoft Anti-Spy] mwrqvke.exe
O4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exe
O4 - HKLM\..\RunServices: [Realtek Sound Managers] peuptryo.exe
O4 - HKLM\..\RunServices: [DRam prosesor] icrbkah.exe
O4 - HKLM\..\RunServices: [Registry Value Name] jfmgufn.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Program Files\TClock\tclock_install.exe
O4 - HKCU\..\Run: [Bcod] "C:\PROGRA~1\STEM~1\chkntfs.exe" -vt tzt
O4 - HKCU\..\Run: [Sdnw] C:\WINDOWS\PPATCH~1\ANREGW~1.EXE
O4 - HKCU\..\Run: [DNS] C:\Program Files\Fichiers communs\mc-110-12-0000133.exe
O8 - Extra context menu item: &MyToolBar Search - res://C:\Program Files\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs:  C:\WINDOWS\System32\winword.dll
O23 - Service: SQLDGM - Unknown owner - C:\WINDOWS\sql-dgm.exe
O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - C:\WINDOWS\winsock\csrss.exe (file missing)


 
Si je résume, j'ai scanné avec :
- SmitfraudFix
- F-Secure Blacklight
- l'anti-Sasser
- l'anti-blaster
- ad-aware
- spybot
- Avast
- Bit defender online
- hijackthis
 
Et même si les antispy ont trouvé 2/3 trucs, ça n'arrange rien  :cry:
J'en ai profité pour installer Kerio aussi.  
 
Bref, il est vérolé de partout, je ne sais plus où chercher, je crois que j'ai tout fait, et je commence à me dire que le formatage serait la meilleure solution.
Please HELP ME ! C'est le gros bordel ici !


Message édité par ixtrem84 le 08-06-2006 à 22:13:41
Reply

Marsh Posté le 08-06-2006 à 22:10:13    

éssaies ewido ;)

Reply

Marsh Posté le 08-06-2006 à 22:14:39    

scan en cours avec ewido, mais je ne pense pas que ca changera grand chose...

Reply

Marsh Posté le 08-06-2006 à 22:20:11    

Et quand on regarde le log hijackthis, c'est bizarre...
 
Je n'ai jamais installé Word sur ce PC, ni Microsoft anti-spyware, ni adobe reader, ni Realteck Sound Manager, ni tclock...
 
Par moment, un message comme quoi je n'ai plus assez de mémoire virtuelle s'affiche.
 
Pourri jusqu'a la moelle, c'est pas possible !


Message édité par ixtrem84 le 08-06-2006 à 23:22:48
Reply

Marsh Posté le 08-06-2006 à 22:40:44    

Oui... Poste le log HijackThis, je pense que ton PC est infecté par "Worm IRCBot Gen", je suis entrain d'éssayer de trouver un prog pour le virer ou au pire de faire un petit script pour le virer (j'aime bien le batch ;)). Sinon éssaies NOD32 (http://eset-nod32.fr)


Message édité par med365 le 08-06-2006 à 22:48:17
Reply

Marsh Posté le 08-06-2006 à 23:11:36    

J'ai déja posté le log hijackthis plus haut.
 
voici le log d'ewido :

Citation :

---------------------------------------------------------
 ewido anti-malware - Rapport de scan
---------------------------------------------------------
 
 + Créé le:  23:09:54, 08/06/2006
 + Somme de contrôle: 117C9CB6
 
 + Résultats du scan:
 
 HKU\S-1-5-21-329068152-789336058-1708537768-1003\Software\DNS -> Adware.Shorty : Nettoyer sans sauvegarder
 :mozilla.10:C:\Documents and Settings\Famille\Application Data\Mozilla\Firefox\Profiles\iw01dpdq.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer sans sauvegarder
 :mozilla.11:C:\Documents and Settings\Famille\Application Data\Mozilla\Firefox\Profiles\iw01dpdq.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer sans sauvegarder
 :mozilla.12:C:\Documents and Settings\Famille\Application Data\Mozilla\Firefox\Profiles\iw01dpdq.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer sans sauvegarder
 :mozilla.13:C:\Documents and Settings\Famille\Application Data\Mozilla\Firefox\Profiles\iw01dpdq.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer sans sauvegarder
 C:\Documents and Settings\Famille\Cookies\famille@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyer sans sauvegarder
 C:\Documents and Settings\Famille\Cookies\famille@ads0.revenue[1].txt -> TrackingCookie.Revenue : Nettoyer sans sauvegarder
 C:\Documents and Settings\Famille\Cookies\famille@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer sans sauvegarder
 C:\Documents and Settings\Famille\Cookies\famille@com[1].txt -> TrackingCookie.Com : Nettoyer sans sauvegarder
 C:\Documents and Settings\Famille\Cookies\famille@install.bestoffersnetworks[2].txt -> TrackingCookie.Bestoffersnetworks : Nettoyer sans sauvegarder
 C:\Documents and Settings\Famille\Cookies\famille@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer sans sauvegarder
 C:\Documents and Settings\Famille\Cookies\famille@revenue[1].txt -> TrackingCookie.Revenue : Nettoyer sans sauvegarder
 C:\Documents and Settings\Famille\Cookies\famille@tacoda[1].txt -> TrackingCookie.Tacoda : Nettoyer sans sauvegarder
 C:\Documents and Settings\Famille\Cookies\famille@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer sans sauvegarder
 C:\Documents and Settings\Famille\Cookies\famille@zedo[2].txt -> TrackingCookie.Zedo : Nettoyer sans sauvegarder
 C:\Program Files\Fichiers communs\services.exe -> Adware.Maxifiles : Nettoyer sans sauvegarder
 C:\WINDOWS\system32\fcvo.exe -> Dropper.Paradrop.a : Nettoyer sans sauvegarder
 C:\WINDOWS\system32\Isass.exe -> Backdoor.PoeBot.c : Nettoyer sans sauvegarder
 C:\WINDOWS\system32\remon.sys -> Rootkit.Agent.ab : Nettoyer sans sauvegarder
 
 
::Fin du rapport

Reply

Marsh Posté le 08-06-2006 à 23:22:00    

Les choses semblent s'être calmés après un passage d'ewido alors que ni spybot ni ad-aware n'ont rien fait de probant.
 
Le PC reste utilisable et je pense qu'un reformatage complet ne pourra que faire du bien. Il doit rester quelques spys encore et je voudrais avoir un système sain.
 
Mais merci de m'avoir fait découvrir ewido !


Message édité par ixtrem84 le 08-06-2006 à 23:24:41
Reply

Marsh Posté le 09-06-2006 à 09:21:18    

Bonjour.
 
*  Repost un nouveau log Hijackthis stp.

Reply

Marsh Posté le 09-06-2006 à 10:38:11    

Voici un nouveau log d'hijackthis.  
 
Comme vous pouvez le voir, j'ai décider de garder ewido en résident car c'est le seul qui à réussi à m'éradiquer presque toutes ces cochonneries. Et encore ce matin, quand j'ai démarré mon PC, il m'a trouvé un autre spy.
Pourtant je ne connaissais pas ewido. Pour moi, les 2 plus connus sont Spybot et ad-aware.
 

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 10:35:18, on 09/06/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trillian\trillian.exe
C:\Program Files\Opera\Opera.exe
C:\DOCUME~1\Famille\LOCALS~1\Temp\Rar$EX00.527\HijackT
 
his.exe
 
O23 - Service: ewido security suite control - ewido networks -  
 
C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks -  
 
C:\Program Files\ewido anti-malware\ewidoguard.exe

Reply

Marsh Posté le 09-06-2006 à 10:39:24    

Re.
 
*  Le log n'est pas entier, veuillez en mettre un entier svp.

Reply

Marsh Posté le 09-06-2006 à 10:52:48    

il est entier... J'ai fait un CTRL+A du rapport hijackthis.log et je l'ai collé  ici

Reply

Marsh Posté le 09-06-2006 à 10:54:17    

Re.
 
C'est impossible, refais stp.

Reply

Marsh Posté le 09-06-2006 à 10:57:32    

je viens de le refaire à l'instant.
 
Pour être sur, je l'ai re-téléchargé sur le site officiel, je l'ai lancé et sauver le rapport dans le fichier hijackthis.log et j'ai copier-coller tout le contenu ici.
 
Je peut t'assurer qu'il est entier, je peut même te faire des captures d'écrans si tu doute encore.
 
Y'a encore un problème avec cet ordi ? Parce que là, il tourne pas trop mal on va dire.

Reply

Marsh Posté le 09-06-2006 à 11:01:38    

Re.
 
Tu parles bien du log posté le 09-06-2006 à 10:38:11    ??

Message cité 1 fois
Reply

Marsh Posté le 09-06-2006 à 11:04:33    

Anthony10 a écrit :

Re.
 
Tu parles bien du log posté le 09-06-2006 à 10:38:11    ??


Tout à fait, il est bel et bien entier celui-là.
 
J'ai scanner plusieurs fois et ca ne change rien...
Je peut te faire des caps si tu doute.

Reply

Marsh Posté le 09-06-2006 à 11:06:16    

Re.
 
Bizarre car quand on compare celui la avec celui posté le 08-06-2006 à 22:10:03, il y a une grande difference.
 
Je veux juste nettoyer ton Pc car il a l'air assez infecte.

Message cité 1 fois
Reply

Marsh Posté le 09-06-2006 à 11:12:02    

Anthony10 a écrit :

Re.
 
Bizarre car quand on compare celui la avec celui posté le 08-06-2006 à 22:10:03, il y a une grande difference.
 
Je veux juste nettoyer ton Pc car il a l'air assez infecte.


 
Oui, c'est vrai c'est bizarre. Mais je n'ai gardé que ewido au démarrage, je n'ai rien d'autre qui se lance au démarrage, comme d'habitude.
C'est vrai que part rapport à l'ancien log, c'est étonnant.
 
Mais quand on y regarde de plus près, grâce aux passages de spybot, de ad-aware et enfin d'ewido (surtout celui-là), ça s'est grandement amélioré !
 
Donc en fait ça va mieux pour l'instant mais je surveille. Je vous tiens au courrant sur ce topic si ca recommence.
 
Mais je te remercie de ton aide quand-même.  ;)

Reply

Marsh Posté le 09-06-2006 à 11:45:06    

Re.
 
* Fais un scan en ligne avec Panda : http://www.pandasoftware.com/activ [...] ncipal.htm
 
Tutorial a suivre ( provenant du site a Malekal_Morte ) :
 
http://www.malekal.com/scan_Av_en_ [...] ocId237368
 
* Apres, colle le rapport ici.

Reply

Marsh Posté le 10-06-2006 à 12:49:08    

Ne poste pass ton log HijackThis en Mode sans échec ;) Essaies panda comme t'a di Anthony10.
 

Citation :


C:\Program Files\Fichiers communs\services.exe -> Adware.Maxifiles : Nettoyer sans sauvegarder
 C:\WINDOWS\system32\fcvo.exe -> Dropper.Paradrop.a : Nettoyer sans sauvegarder
 C:\WINDOWS\system32\Isass.exe -> Backdoor.PoeBot.c : Nettoyer sans sauvegarder
 C:\WINDOWS\system32\remon.sys -> Rootkit.Agent.ab : Nettoyer sans sauvegarder  


 
Les rootkits c'est pas le boulot de Blacklight la ? :D

Message cité 1 fois
Reply

Marsh Posté le 10-06-2006 à 13:13:05    

télécharge RootkitRevealer

Reply

Marsh Posté le 10-06-2006 à 15:20:38    

med365 a écrit :

Ne poste pass ton log HijackThis en Mode sans échec ;)


 
Je ne l'ai pas fait en mode sans échec...
 
J'étais en mode normal quand j'ai fait les scans HijackThis  ;)  
 
Merci de vos conseils, je vais essayer ce que vous avez dit, mais comme je vous l'ai dit apparament ça s'est calmé grâce à ewido.
 

Reply

Marsh Posté le 10-06-2006 à 16:42:31    

on va vérifier la présence de rootkits grace à RootkitRevealer, mai en effet, ewido semble avoir tout viré ;)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed