Un virus pourrit ma machine... J'arrive pas à le supprimer :-/

Un virus pourrit ma machine... J'arrive pas à le supprimer :-/ - Sécurité - Windows & Software

Marsh Posté le 13-10-2004 à 19:39:06    

Y'a un v i r u s que j'arrive pas à identifier qui me casse les c....
Les sympthomes :
 
- Mon firewall norton se lance pas (ni manuellement)
- Mon watchdog antivirus Norton se lance pas (ni manuellement)
- Quand j'essaye de désinstaller un produit norton, j'ai X fenêtres qui me demandent de fermer l'application
- J'arrive pas à ouvrir la base de registre.
- Dès que j'ai une pag internet avec le mot antivirus qui revient trop, celle-ci se ferme automatiquement
- J'arrive pas à lancer Mozilla ou tout autre Browser qu'IE
- Windows update m'envoie vers incredifind...
 
Bref, je suis un peu bloqué, là... Un formatage s'impose ? :??:


Message édité par cocorezo le 14-10-2004 à 09:52:55
Reply

Marsh Posté le 13-10-2004 à 19:39:06   

Reply

Marsh Posté le 13-10-2004 à 19:51:42    

Télécharge Stinger
 
Et si tu peux fais un scan en ligne
 
Nota: je te préconise Panda et rav.ro


---------------
La chenille ne porte pas de lunettes quand elle boit l'eau.
Reply

Marsh Posté le 13-10-2004 à 20:20:05    

Ca a l'air violent ce truc :/
 
Télécharge Ultimate Boot CD, boote dessus et scanne tout ton DD avec les AV qu'il propose.


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 14-10-2004 à 09:55:28    

bon, j'arrivais même plus à lire cette page hier soir, à cause du mot "virus" dedans :cry:
J'ai réussi à l'éditer sous notepad pour lire vos réponses. :pt1cable:
 
Le problème, c'est que dès que je lance un des liens, ça me ferme les fenêtre :/
Franchement, je suis sur le point de tout formater, ça me gave ! :fou:


Message édité par cocorezo le 14-10-2004 à 09:55:44
Reply

Marsh Posté le 14-10-2004 à 10:00:30    

Reply

Marsh Posté le 14-10-2004 à 10:09:18    

sanpellegrino a écrit :

Ca a l'air violent ce truc :/
 
Télécharge Ultimate Boot CD, boote dessus et scanne tout ton DD avec les AV qu'il propose.


 
Ultimate boot cd propose des scan en mode Dos (a moins que sur les dernières versions....) inutile si la machine est en NTFS sous Win XP ou 2000.
 
En revanche un utilitaire antivirus de type Trend Micro ou Bit Defender peut peut-être faire l'affaire.
Perso, j'utilise Trend :
L'utilitaire de scan :
http://fr.trendmicro-europe.com/fi [...] sclean.com
Et ses defs qui vont avec :
http://fr.trendmicro-europe.com/en [...] attern.php
(cliquer sur lptXXX.zip)
 
Après ca, un scan du système avec Spybot, Ad-Aware et CWShredder n'est pas superflue... Les liens :
Spybot : http://www.safer-networking.org/en/download/index.html
Ad-Aware : http://www.lavasoftusa.com/ (rubrique download)
CWShredder : http://www.softpedia.com/public/ca [...] -150.shtml
 
Voila  :)


---------------
@à_è-' kjzer ù*$¤$^ù=@#`^~#`@\`~#[@!!!
Reply

Marsh Posté le 14-10-2004 à 10:19:12    

>FoX'x: mets plutôt les liens directs car il semble que son PC ait du mal à supporter la vue de mots tels qu'anti-virus et cie. ça lui ferme ses fenêtres de pudeur :D

Reply

Marsh Posté le 14-10-2004 à 10:29:57    

Reply

Marsh Posté le 14-10-2004 à 10:34:26    

Argh!
Liens pourris!
 
Je vais en chercher d'autres...


---------------
@à_è-' kjzer ù*$¤$^ù=@#`^~#`@\`~#[@!!!
Reply

Marsh Posté le 14-10-2004 à 10:40:00    

Tiens, une moulinette (à base de f-prot) à jour qui nécessite rien d'autre qu'une partition FAT32 accessible sous dos :
http://www.meta.rezoo.org/osecour (clic droit enregistrez sous)
(à renommer en exe une fois sous dos (rename osecour osecour.exe ou via un copy osecour osecour.exe)
 
edit: doigts en carton ce matin


Message édité par efflamm le 14-10-2004 à 10:42:27
Reply

Marsh Posté le 14-10-2004 à 10:40:00   

Reply

Marsh Posté le 14-10-2004 à 10:46:40    

En revanche, si quelqu'un connait le nom de ce virus (celui qui ferme les fenêtre explorer a chaque mot "virus" ) je suis preneur
 
Quel browser Mozilla utilises-tu?


---------------
@à_è-' kjzer ù*$¤$^ù=@#`^~#`@\`~#[@!!!
Reply

Marsh Posté le 14-10-2004 à 11:36:00    

merci à tous, j'essayerai ça ce soir quand je rentrerai chez moi. Je vais prendre mon PC entre 4 yeux, et ça va chier ! :O

Reply

Marsh Posté le 14-10-2004 à 11:36:42    

FoX'x a écrit :

En revanche, si quelqu'un connait le nom de ce virus (celui qui ferme les fenêtre explorer a chaque mot "virus" ) je suis preneur
 
Quel browser Mozilla utilises-tu?

la dernière version. Mais ça fait pareil avec firefox ou Opera. :cry:

Reply

Marsh Posté le 15-10-2004 à 10:02:56    

Je suis toujours en pleine galère :/
Les liens que vous m'avez donné marchent bien, mais les différents programmes n'arrivent pas à trouver le virus :
- les progs genre spybot et adaware ne trouvent pas de virus (c as leur rôle)
- les antivirus sous DOS ne trouvent pas les partitions NTFS, donc sont impuissants :/
 
Et certains progs nécessitent de passer par une page Internet pour les télécharger, ce qui m'est impossible, car les fenêtres se ferment automatiquement. Bref, chui bloqué :/
Si je trouve pas de solution, je vais finir par formater.... :(

Reply

Marsh Posté le 15-10-2004 à 10:17:53    

FoX'x a écrit :

En revanche, si quelqu'un connait le nom de ce virus (celui qui ferme les fenêtre explorer a chaque mot "virus" ) je suis preneur
 
Quel browser Mozilla utilises-tu?


 
C le virus MSN XP Pro SP2 , ca non ?  
 
 :lol:  :p  :lol:  
 
Nan sérieusement , des fois je me pose la question...mais si ca ferme meme IE6 alors ca doit pas etre ca...
 
WB.
 [:theintruder]


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 15-10-2004 à 11:10:20    

whiteburner a écrit :

C le virus MSN XP Pro SP2 , ca non ?


http://forum.hardware.fr/icones/message/icon14.gif
 
En scannant avec Ultimate Boot CD il ne trouve rien ?


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 15-10-2004 à 13:46:31    

nan, parce que tous ce programmes ignorent les partitions NTFS ! Et franchement, je trouve ça nul :(

Reply

Marsh Posté le 15-10-2004 à 16:23:20    

Cocorezo a écrit :

Je suis toujours en pleine galère :/
Les liens que vous m'avez donné marchent bien, mais les différents programmes n'arrivent pas à trouver le virus :
- les progs genre spybot et adaware ne trouvent pas de virus (c as leur rôle)
- les antivirus sous DOS ne trouvent pas les partitions NTFS, donc sont impuissants :/
 
Et certains progs nécessitent de passer par une page Internet pour les télécharger, ce qui m'est impossible, car les fenêtres se ferment automatiquement. Bref, chui bloqué :/
Si je trouve pas de solution, je vais finir par formater.... :(

up ...

Reply

Marsh Posté le 15-10-2004 à 16:28:14    

T'as éssayé le lien Trend?
En général ca marche pas trop mal...


---------------
@à_è-' kjzer ù*$¤$^ù=@#`^~#`@\`~#[@!!!
Reply

Marsh Posté le 15-10-2004 à 16:33:35    

tu as regardé le fichier "hosts" sur ton pc? peux-tu copier/coller ce qu'il y a dedans? au cas où tu aurais un problème pour joindre les différents sites des éditeurs d'antiv*r*s


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 15-10-2004 à 19:53:15    


 
Ca ressemble à HackerDefender ton truc, une vraie saloperie. Ci dessous deux liens où on en parle et qui indiquent comment s'en débarrasser.
 
http://www.pc-tests.com/Forum/viewtopic.php?p=134528
 
http://www.thetechguide.com/forum/ [...] opic=10767
 
Sinon ci dessous Uppix un navigateur très simple qui n'est pas fermé par le virus.
 
http://uppix.fr-org.net/

Reply

Marsh Posté le 15-10-2004 à 20:04:36    

ok, je réessaye tout ça ce soir. MErci à tous :jap:

Reply

Marsh Posté le 18-10-2004 à 10:50:19    

bon, rien à faire, j'y suis pas arrivé. Ca merde toujours :/
Allez, ce soir je formate :fou:

Reply

Marsh Posté le 18-10-2004 à 11:07:31    

FoX'x a écrit :

En revanche, si quelqu'un connait le nom de ce virus (celui qui ferme les fenêtre explorer a chaque mot "virus" ) je suis preneur
 
 


est ce que le nom dans ta page fermée par le mot virus est il précédé d'un fichier dll dans l'adresse du navigateur??
genre; res://shdocbl.dll/HTTP_Blocked.htm  
qui donne ceci qd tu ouvres une page;
http://perso.wanadoo.fr/bd.petit.format/bd.U.V.W.X.Y.Z/virus.JPG
et si quelqu'un à ce problème ou a connu ce problème, svp dites moi ce qu'il faut faire.
j'ai tout essayez, scanné mon pc avrec toute sirte de log, et rien à faire.

Reply

Marsh Posté le 18-10-2004 à 11:34:17    

Poste ici un log HijackThis ;)


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 18-10-2004 à 11:50:42    

voilà, si je ne répond pas de suite, c'est que je travaille de l'après midi. à ce soir j'espère que vous me trouvez la solution.
Logfile of HijackThis v1.97.7
Scan saved at 11:49:19, on 18/10/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\PDesk\PDesk.exe
C:\WINNT\Gtwatch.exe
C:\WINNT\gtwatch.exe
C:\WINNT\System32\UMonit2k.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\WINNT\autoclk.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System\MSMSGSVC.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\WINNT\twain_32\L3U16\WATCH.exe
C:\WINNT\System32\wuauclt.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
D:\flash 32\Flash32.exe
C:\Program Files\Wanadoo\audax\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINNT\dpe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [] C:\WINNT\Gtwatch.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINNT\gtwatch.exe
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\System32\UMonit2k.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINNT\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Watch.lnk = C:\WINNT\twain_32\L3U16\WATCH.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Wanadoo (HKCU)
O13 - WWW Prefix:  
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\oysgiqkn.exe
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 6415277778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6EF94C8-52BF-4FBD-BF5A-7369BBB70374}: NameServer = 80.10.246.1,80.10.246.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBAA0BC2-372B-467C-8660-8C2F4D3D8F8E}: NameServer = 80.10.246.1 80.10.246.132
 

Reply

Marsh Posté le 18-10-2004 à 12:45:10    

Commence par passer au SP4. Ensuite supprime les entrées suivantes:
 
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINNT\dpe.dll
O13 - WWW Prefix:  
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\oysgiqkn.exe
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
 
Ensuite redémarre et vois ce que ça donne. Si tu as encore des problèmes reposte un nouveau log.


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 19-10-2004 à 00:50:59    

voilà, d'abord j'ai pas installé le pack 4.
je voulais d'abord voir si HijackThis fonctionne.
j'ai supprimé les fichiers comme tu l'a décris.
1) pour les supprimer il faut sélectionner le fichier puis appuyer sur "fix checked" c'est cela?
si c'est cela, ce qui est bizarre c'est que tout ces fichiers reviennent même à chaque démarrage de la machine sauf les fichiers;
O13 - WWW Prefix:  
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\oysgiqkn.exe  
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe  
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab  
qui eux sont bien parti.
2) j'ai télécharger sur ton post le patch en français, mais il ne fonctionne pas.

Reply

Marsh Posté le 19-10-2004 à 05:30:54    

Oui, il faut cocher "Fix Checked" pour virer les lignes.  
 
Commence par faire un scan antivirus sur www.secuser.com/antivirus  
 
Ensuite redémarre en mode sans échec, kille pl.exe et oysgiqkn.exe. Supprime les lignes correspondantes et ensuite redémarre.
 

audax a écrit :


si c'est cela, ce qui est bizarre c'est que tout ces fichiers reviennent même à chaque démarrage de la machine sauf les fichiers;
O13 - WWW Prefix:  
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\oysgiqkn.exe  
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe  
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab  
qui eux sont bien parti.


 
Ensuite rescanne avec Hijack, poste ton log dans l'analyseur en ligne, vérifie s'il n'y a rien. Si tu as des doutes sur certains processus (toutes les tâches inconnues), cherche avec Google.

Reply

Marsh Posté le 19-10-2004 à 21:25:22    

je l'ai fait avec l'analyseur en ligne.
mais je crois savoir d'ou vient le problème.
si tui regardes l'image jointe dans le poste précédent bien plus haut j'ai un fichier dll qui se nomme "shdocbl.dll"
voilà, ce que je voudrais savoir si quelqu'un qui lit ce post à win 2000 pro et qui regarde si il a ce fichier dans dossier "winnt" et dans "système 32" .
ce qui m'étonnerait un peu, mais si ceux qui l'ont s'ils peuvent m'envoyez par email ce fichier pour que je le change,
Sinon me dire comment enlever ce fichier car qd je veut le supprimer dans "winnt" il s'enlève mais revient et qd je veut le supprimer dans le "système 32" il m'interdit de l'enlever car il me met un message "utiliser par le système" mais dans le processus je ne le voit pas.
je ne sais pas si vous me suivez là..

Reply

Marsh Posté le 19-10-2004 à 21:30:56    

bon ça n'existe pas (tu t'en doutais) sous mon win2k SP4
 
as-tu essayé de faire une recherche de ce fichier dans la base de registre car il y est peut-être de manière à ce que explorer.exe le charge au démarrage

Reply

Marsh Posté le 19-10-2004 à 21:48:30    

on avais déjà parlé de ce problème ya un moment non? arrff j'me rapelle plus, mais j'crois qu'y a une page qui indique comment le supprimer (tout ce qu'il faut faire sans utiliser une seule fois les mots v i r u s ou anti-v i r u s)
faudrais faire une recherche mais j'ai pas trop de temps (j'ai plus que 5 minutes avant de lacher l'ordi)
 
bon courage en tout cas!
 
 
edit: ça va etre très difficile, la fonction recherche semble ne pas marcher today...


Message édité par tite_kikoo le 19-10-2004 à 21:49:57
Reply

Marsh Posté le 20-10-2004 à 11:06:26    

j'ai tout fait, en mode sans échec j'ai supprimer tout les fichiers etc.. fait un scan avec HijackThis, en mode sans échec. apperrement le fichier shdocbl.dll je ne le voit plus dans le "syteme 32" mais revient dans "winnt" , mais il y a le fichier "dpe.dll" que je n'arrive pas à supprimer. je le supprime, mais revient à chaque fois. car en page de démmarrage de ie5 j'ai ceci et j'ai beau modifié, mais j'ai ceci qui revient tout le temps;
http://%68%6F%6D%65%70%61%67%65%2E [...] 63/%68%70/
 
 j'ai comme l'impression qu'il va falloir que je formate.  
et tout ces fichiers sont venus aprsè que mon fils est allez sur un site de ...... et puis voilà.
à moin que vous avez une autre solution!! en tout merci

Reply

Marsh Posté le 20-10-2004 à 11:09:59    

récupère ça http://d21c.com/Tom41/get_active_services_179_161.zip
 
tu le dézippes et tu le lances, il va générer un fichier texte avec la liste de tous les services qui tournent sur ton pc comme ça on verra si un service foireux tourne en arrière plan pour relancer les merdes à chaque fois.  
 
Copie/colle le résultat ici :)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 20-10-2004 à 11:19:25    


voilà;
These are the Current Active Services:
 
 EXPLORATEUR D'ORDINATEUR: Browser
C:\WINNT\System32\services.exe
 
 CLIENT DHCP: Dhcp
C:\WINNT\System32\services.exe
 
 GESTIONNAIRE DE DISQUE LOGIQUE: dmserver
C:\WINNT\System32\services.exe
 
 CLIENT DNS: Dnscache
C:\WINNT\System32\services.exe
 
 JOURNAL DES ÉVÉNEMENTS: Eventlog
C:\WINNT\system32\services.exe
 
 SERVEUR: lanmanserver
C:\WINNT\System32\services.exe
 
 STATION DE TRAVAIL: lanmanworkstation
C:\WINNT\System32\services.exe
 
 SERVICE D'APPLICATION D'ASSISTANCE TCP/IP NETBIOS: LmHosts
C:\WINNT\System32\services.exe
 
 PLUG-AND-PLAY: PlugPlay
C:\WINNT\system32\services.exe
 
 EMPLACEMENT PROTÉGÉ: ProtectedStorage
C:\WINNT\system32\services.exe
 
 SERVICE D'EXÉCUTION PAR DÉLÉGATION: seclogon
C:\WINNT\system32\services.exe
 
 CLIENT DE SUIVI DE LIEN DISTRIBUÉ: TrkWks
C:\WINNT\system32\services.exe
 
 EXTENSIONS DU PILOTE WMI: Wmi
C:\WINNT\system32\Services.exe
 
 SYMANTEC EVENT MANAGER: ccEvtMgr
"C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
 
 SYSTÈME D'ÉVÉNEMENTS DE COM+: EventSystem
C:\WINNT\System32\svchost.exe -k netsvcs
 
 CONNEXIONS RÉSEAU: Netman
C:\WINNT\System32\svchost.exe -k netsvcs
 
 MÉDIAS AMOVIBLES: NtmsSvc
C:\WINNT\System32\svchost.exe -k netsvcs
 
 GESTIONNAIRE DE CONNEXIONS D'ACCÈS DISTANT: RasMan
C:\WINNT\System32\svchost.exe -k netsvcs
 
 NOTIFICATION D'ÉVÉNEMENT SYSTÈME: SENS
C:\WINNT\system32\svchost.exe -k netsvcs
 
 PARTAGE DE CONNEXION INTERNET: SharedAccess
C:\WINNT\System32\svchost.exe -k netsvcs
 
 TÉLÉPHONIE: TapiSrv
C:\WINNT\System32\svchost.exe -k netsvcs
 
 MGABGEXE: MGABGEXE
C:\WINNT\System32\mgabg.exe
 
 SERVICE NORTON ANTIVIRUS AUTO-PROTECT: navapsvc
"C:\Program Files\Norton AntiVirus\navapsvc.exe"
 
 AGENT DE STRATÉGIE IPSEC: PolicyAgent
C:\WINNT\System32\lsass.exe
 
 GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
C:\WINNT\system32\lsass.exe
 
 SERVICE D'ACCÈS À DISTANCE AU REGISTRE: RemoteRegistry
C:\WINNT\system32\regsvc.exe
 
 APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
C:\WINNT\system32\svchost -k rpcss
 
 PLANIFICATEUR DE TÂCHES: Schedule
C:\WINNT\system32\MSTask.exe
 
 SPOULEUR D'IMPRESSION: Spooler
C:\WINNT\system32\spoolsv.exe
 
 STILL IMAGE SERVICE: StiSvc
C:\WINNT\system32\stisvc.exe
 
 TRUEVECTOR INTERNET MONITOR: vsmon
C:\WINNT\system32\ZoneLabs\vsmon.exe -service
 
 INFRASTRUCTURE DE GESTION WINDOWS: WinMgmt
C:\WINNT\System32\WBEM\WinMgmt.exe
 
 MISES À JOUR AUTOMATIQUES: wuauserv
C:\WINNT\system32\svchost.exe -k wugroup

Reply

Marsh Posté le 20-10-2004 à 11:24:44    

bah non ça me semble normal ça :/
 
tu avais fouillé la base de registre avec les noms des dll?


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 20-10-2004 à 16:32:10    

salut
essai ceci pour voir si dll cacher
dllfix  
                   http://pageperso.aol.fr/balltrap34/page%20virus.htm
 
 
-Pose-le sur le bureau.  
-Double-clique.  
-Décompresse-le sur le bureau.  
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.  
-Une fois la recherche terminée, un fichier txt doit apparaître sous  
le nom "Output.txt" et sera sauvegardé dans le dossier.  
-Copie/colle le contenu de "Output.txt" dans ta réponse.


Message édité par balltrap34 le 20-10-2004 à 16:32:43

---------------
la chasse et le balltrap une vrai passion http://www.florensac-chasse-trap.com/
Reply

Marsh Posté le 20-10-2004 à 17:17:16    

bon, bah j'ai retardé l'inévitable, mais j'ai rien réussi à trouver pour éradiquer cette m... de v i r u s.
Ce soir, c'est formatage assuré :jap:

Reply

Marsh Posté le 20-10-2004 à 22:20:23    

balltrap34 a écrit :

salut
-Copie/colle le contenu de "Output.txt" dans ta réponse.


voilà; si vous avez la solution..
 
 
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--  
--==***@@@ ORIGINAL BY FREEATLAST           @@@***==--  
 
mer. 20/10/2004  
22:19  
 
System Info:  
 
Microsoft Windows 2000 [Version 5.00.2195]
C: "" (2C18:AA61) - FS:NTFS clusters:4k
Total: 40 007 729 152 [37G] - Free: 36 184 756 224 [34G]
 
 
 *IE version and Service packs:  
             6.0.2800.1106  C:\Program Files\Internet Explorer\Iexplore.exe
 *Notepad version :  
                5.0.2140.1  C:\WINNT\system32\notepad.exe
                5.0.2140.1  C:\WINNT\notepad.exe
 *Media Player version :  
 
! REG.EXE VERSION 2.0
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    MinorVersion REG_SZ ;SP1;Q823353;Q833989;
 
 
 
Locked or 'Suspect' file(s) found...  
These may be other files that Dllfix doesnt target.  
 
 
Scanning for main Hijacker:  
 
 
REGEDIT4
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
 
REGEDIT4
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{834261E1-DD97-4177-853B-C907E5D5BD6E}]
 
REGEDIT4
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="Filtre MIME de l'afficheur Web"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/xml]
"CLSID"="{807553E5-5146-11D5-A672-00B0D022E945}"
 
 
! REG.EXE VERSION 2.0
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_Dlls REG_SZ  
 
*Security settings for 'Windows' key:  
 
 
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
 
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI)    ALLOW  Read         BUILTIN\Utilisateurs
(IO)    ALLOW  Read         BUILTIN\Utilisateurs
(NI)    ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(IO)    ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(NI)    ALLOW  Full access  BUILTIN\Administrateurs
(IO)    ALLOW  Full access  BUILTIN\Administrateurs
(NI)    ALLOW  Full access  AUTORITE NT\SYSTEM
(IO)    ALLOW  Full access  AUTORITE NT\SYSTEM
(NI)    ALLOW  Full access  BUILTIN\Administrateurs
(IO)    ALLOW  Full access  CREATEUR PROPRIETAIRE
 
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read           BUILTIN\Utilisateurs
Read           BUILTIN\Utilisateurs avec pouvoir
Full access    BUILTIN\Administrateurs
Full access    AUTORITE NT\SYSTEM
 
 


Reply

Marsh Posté le 20-10-2004 à 22:23:42    

il y a une chose que je veut rajouter. le fichier dpe.dll j'arrive à le supprimer dans régédit en mode sans échec.
mais qd je veut le supprimer dans le mode normal, dans régédit, il m'autorise pas à le supprimer ni à changer de nom. qd je le supprime dans le mode sans échec, et que je redémarre, il revient.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed