Bonjour,
Ce matin mcafee viruscan m'a détecté: W32/Sdbot.worm.gen.j variant de W32/Sdbot.worm
J'ai donc fait supprimer le fichier et çà l'a supprimé. Slmt,1 nvelle fenêtre est apparue avec le même virus, ms là impossible de le nettoyer, supprimer ou mettre en quarantaine(çà me fait svt çà d'ailleurs).
 
Le problème est que lorsque je vais sur un site où les champs pseudo+mots de passe sont remplis automatiquement, les données ont disparues, quel que soit le site(et y'en a un paquet !).Je suppose qu'elles étaient stockées ds des cookies qui ont été effacés, ms pourquoi ?  
 
Je ne comprends rien à la page d'info sur mcafee qui est en anglais. J'ai dc tapé le nom du virus sur google et la seule entrée trouvée est chez Sophos, qui le reconnaît comme alias pour je ne sais combien de virus :W32/Rbot-BR ; W32/Rbot-IE ; W32/Sdbot-Jt; etc.
Je ne m'en sors pas. D'autant plus que qd je regarde les clés de registre censées être modifiées, une fois c'est RAS, l'autre çà correspond apparemment au virus spécifié; par exemple:
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"  
 
Je n'ose plus aller sur les sites où la connexion est automatique, le fait que les données aient été effacées= risque de récupération par un tiers ? Y'a-t-il un lien avec le virus ?
Comment être sûr d'être désinfecté correctement ?  
Merci de vos réponses.

 
Fais ce Scan en ligne: www.ravantivirus.com/scan/  (avec IE obligatoirement)  
 
Clique sur: << To continue without subscribing click here. >>, autorise l'installation du contrôle activeX, avec les options de sécurité par défaut. Pour appliquer ces paramètres :
 
-Ouvrir Internet Explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".
 
-Ouvrir Internet Explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".  
 
Attends que "Ready" s'affiche et coches la case "Autoclean"  
 
Clique sur "Scan my pc".  
 
Quand le Scan est terminé (çà peut être long), copies et colles le rapport.

bon, j'ai fait comme tu m'as dit, apparemment il a repéré un fichier infecté en secteur boot + ds des mails, je me suis absenté et qd je suis revenu l'ordinateur avait redémarré tt seul > panneau de choix de session, donc ttes les données st perdues et il faut que je recommence le scan !!!

Voici les résultats du scan RAV :
 
Scanning memory...
Scanning boot sectors...
Scanning files...
 
C:\gpb2.exe - TrojanProxy:Win32/Ranky.BF -> Infected
 
C:\Documents and Settings\laurent.LAURENT-Z5SPXWV\Local Settings\Application Data\Identities\{0BEC439D-BED6-40DC-A382-95DD2D883B97}\Microsoft\Outlook Express\SPAM.dbx->Message.6: (rickysorus-1100703260@videotron.ca [Mail Delivery (failure eltece@free.fr)])... - HTML/IFrame_Exploit* -> Infected
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[1].cab->istactivex.dll - TrojanDownloader:Win32/Istbar.GH.dll -> Infected
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[2].cab->istactivex.dll - TrojanDownloader:Win32/Istbar.GH.dll -> Infected
 
C:\WINDOWS\system32\TFTP5028 -Backdoor:Win32/Rbot.dam#2 -> Infected
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CTIVW52J\0006_regular[1].cab->istactivex.dll - TrojanDownloader:Win32/Istbar.GH.dll -> Infected
 
C:\WINDOWS\Temp\ICD1.tmp\istactivex.dll - TrojanDownloader:Win32/Istbar.GH.dll -> Infected
 
Scanned
============================
 Objects: 99635
 Directories: 6575
 Archives: 2783
 Size(Kb): -1076353
 Infected files: 246
 
Found
============================
 Viruses found: 16
 Suspicious files: 0
 Disinfected files: 0
 Mail files: 6277
 
 
La 2e fichier infecté correspond à un mail (y'en a plein d'autres mais  je n'en ai mis qu'un sinon  le post  serait trop long!)J'en reçois des paquets comme çà par jour  et il n'ont jms été détectés (spybot/ad-aware/mcafee viruscan 7).
Voilà, sinon, j'avais coché la case "autoclean", ms apparemment, çà n'a pas nettoyé.
Que dois-je faire maintenant ?

 
 
Redémarre en mode sans échec (en tapotant F8 au démarrage).  
Assure-toi que tu as accès aux fichiers cachés.  
(explorateur windows->outils->options des dossiers->affichage  
""Afficher les fichiers cachés"->coché  
"Masquer les extensions.."->décoché)
 
Delete les fichiers en gras
 
C:\gpb2.exe  
C:\WINDOWS\system32\TFTP5028
 
IE > Outils > Options internet  
Dans le champ "Fichiers Internet Temporaires", tu cliques sur le bouton du mileu "Supprimer les fichiers".  
Tu coches la petite case "Supprimer tout le contenu hors connexion" et tu valides par Ok.  
 
Vide ces dossiers:
-C:\documents and settings\<ton nom>\local settings\temp  
-C:\temp (si présent)
-C:\windows\temp
(Ne supprime pas les dossiers eux-mêmes, mais tous les fichiers contenus.)
 
et vide la corbeille.  
 
Supprime tous les mails contenus dans "éléments supprimés" "spam" si présent
 
Refais un nouveau RAV pour vérifier
 

pour les dossiers temp, je me demande:
- ds C:\windows\temp;C:\temp; etc. , je vide également ts les sous dossiers ?
- est-ce que je risque de perdre des infos utiles en supprimant ces données (temp) ?
- ds : C:\documents and settings\<ton nom>\local settings\temp; il y a justement plusieurs noms : il y a 3 dossiers avec mon nom; le nom d'un autre utilisateur du pc (autre session) et des dossiers comme "administrateur; default user; all users...). Faut-il que je supprime ts les temp de ces dossiers aussi ?

 
Ce sont tous des fichiers "temporaires". Ils ne sont plus utiles au système.
Tu peux tout supprimer
 
/!\ Il faut bien te rendre jusqu'au bout de l'adresse:
C:\documents and settings\<ton nom>\local settings\temp
et ne pas supprimer ce qu'il y a dans "C:\documents and settings\" comme "administrateur", "default user" etc...
Uniquement les fichiers contenus dans C:\documents and settings\<ton nom>\local settings\temp

ok !
juste pr confirmer :
Je supprime (le contenu des dossiers):
J'ai 2 dossiers à mon nom:
C:\Documents and Settings\laurent\Local Settings\Temp
C:\Documents and Settings\laurent.LAURENT-Z5WVDZV\Local Settings\Temp
Autre utilisateur du pc :
C:\Documents and Settings\ghislaine\Local Settings\Temp
 
Je ne supprime pas:
C:\Documents and Settings\Administrateur\Local Settings\Temp
C:\Documents and Settings\Default User.WINDOWS\Local Settings\Temp
C:\Documents and Settings\Default User\Local Settings\Temp
 
C'est juste ?

 
Oui

J'ai réussi à vider :  
C:\Documents and Settings\laurent\Local Settings\Temp  
C:\Documents and Settings\ghislaine\Local Settings\Temp  
C:\temp  
 
Par contre, ds C:\Documents and Settings\laurent.LAURENT-Z5WVDZV\Local Settings\Temp , il reste plusieurs fichiers "insupprimables":  
 
>Perflib_Perfdata_f60.dat: cette ressource est utilisée par une autre personne ou un autre programme" > pourtant, je n'ai qu'une session d'ouverte (administrateur) et aucun programme d'ouvert  
 
> ds C:\Documents and Settings\laurent.LAURENT-Z5SPXWV\Local Settings\Temp\Temporary Internet Files\Content.IE5 , j'ai 2 dossiers qui contiennent chacun un fichier ".css" : clic droit dessus=pas poss de choix suppression; si j'essaie de supprimer le dossier parent, il m'est dit que le fichier "X.css" est introuvable"  
 
De même pour: C:\WINDOWS\Temp  
- fichier qui utilisent une ressource ouverte  
- fichiers systèmes  
- programmes  

Refais un nouveau RAV pour voir

Bonjour,
Bon, j'ai réussi à vider les dossiers en question, sauf 2 fichiers (même après redémarrage en mode ss échec):
DS: C:\Documents and Settings\laurent.LAURENT-Z5SWXCV\Local Settings\Temp\Temporary Internet Files\Content.IE5\0KT5UWB5> 2dossiers dt chacun contiennent 1 fichier .CSS : qd j'essaie de supprimer le dossier parent (0KT5UWB5),j'ai "imposs suppr fichier X, fichier introuvable. Vérifiez le chemin d'accès". Qd je clique sur le fichier directement pas de choix permettant sa suppression.
 
Sinon, j'ai fait un nveau scan RAV, voici les résultats:
Statistics
 Scanned files:  72432  
Scanned directories: 5251  
Scanned archives: 2606  
Size of the scanned files: 2083249146  
Packed files: 2248  
Known viruses found: 4  
Virus bodies: 1  
Suspicious files: 0  
 
 Disinfected files: 0  
Deleted files: 0  
Renamed files: 0  
Copied files: 0  
I/O errors: 0  
Warnings: 0  
Corrupted files: 0  
New files: 246721  
Mail files: 3703  
 
Found viruses  
File: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[1].cab->istactivex.dll  
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected  
 
File: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[2].cab->istactivex.dll  
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected  
 
File: C:\RECYCLER\S-1-5-21-436374069-1177238915-725345543-1003\Dc3289.dll  
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected  
 
File: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CTIVW52J\0006_regular[1].cab->istactivex.dll  
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected  
 
Apparemment de nveaux trojans st présents ! Je ne sais pas d'où ils viennnent.Sinon, pr mes cookies, ils n'avaient pas disparu: ms la connexion à un site n'était pas reconnue (champs de login ne se remplissant pas automatiquement). Pourtant, depuis ce matin, le problème a disparu, qd je vais sur un site "connu" !?
 
 
 
 
 
 

poste un rapport (log) HijackThis : http://www.merijn.org/files/hijackthis.zip
 
ne fais rien d'autre que scan+log et copier/coller le rapport ici

Bonjour,
Voici le rapport hijack this.Sur un autre forum, on m'a conseillé de fixer qqes "entrées" (entre temps), ce que j'ai fait (je les mets en bas de message).
Quoiqu'il en soit, j'ai vidé tous les fichiers temporaires (sauf les 2 fichiers .CSS en question), vidé la corbeille, j'ai désactivé restauration système,redemarré en mode sans échec + scan mantivirus (mcafee); ad-aware; spybot > aucun fichier suspicieux détecté. Pourtant j'ai refait un scan RAV qui me donne toujours les mêmes résultats que le message précédentsauf pour le trojan ds c:\RECYCLER > corbeille vidée !)
 
Logfile of HijackThis v1.99.1  
Scan saved at 19:09:31, on 20/02/2005  
Platform: Windows XP (WinNT 5.01.2600)  
MSIE: Internet Explorer v6.00 (6.00.2600.0000)  
 
Running processes:  
C:\WINDOWS\System32\smss.exe  
C:\WINDOWS\system32\winlogon.exe  
C:\WINDOWS\system32\services.exe  
C:\WINDOWS\system32\lsass.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\System32\svchost.exe  
C:\WINDOWS\system32\spoolsv.exe  
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe  
C:\WINDOWS\System32\svchost.exe  
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe  
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe  
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe  
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe  
C:\WINDOWS\Explorer.EXE  
C:\WINDOWS\SOUNDMAN.EXE  
C:\WINDOWS\System32\atiptaxx.exe  
C:\Program Files\Ahead\InCD\InCD.exe  
C:\Program Files\CyberLink\PowerVCRII\Agent.exe  
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe  
C:\Program Files\Microsoft Hardware\Mouse\point32.exe  
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe  
C:\Program Files\RamBoost XP\rambxpfr.exe  
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe  
C:\Program Files\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe  
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE  
C:\Documents and Settings\laurent.LAURENT-Z5SPXWV\Mes documents\aide PC\virus\hijack this\HijackThis.exe  
 
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://home.free.fr  
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://home.free.fr  
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://home.free.fr  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.free.fr  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.free.fr  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.free.fr  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.free.fr  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://home.free.fr  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://home.free.fr  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://home.free.fr  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://home.free.fr  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://home.free.fr  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens  
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll  
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll  
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx  
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE  
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe  
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe  
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe  
O4 - HKLM\..\Run: [Agent] C:\Program Files\CyberLink\PowerVCRII\Agent.exe  
O4 - HKLM\..\Run: [Remote_Agent] C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe  
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"  
O4 - HKLM\..\Run: [POINTER] point32.exe  
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe  
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"  
O4 - HKCU\..\Run: [RamBoostXp] "C:\Program Files\RamBoost XP\rambxpfr.exe"  
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR  
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background  
O4 - Global Startup: gwum.lnk = C:\Program Files\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe  
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE  
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE  
O8 - Extra context menu item: Download using Download &Express - file://C:\WINDOWS\System32\MetaProducts\Add_Url.htm  
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll  
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll  
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll  
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/  
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab  
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab  
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://univ-r.u-strasbg.fr/TSWeb/msrdp.cab  
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab  
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe  
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe  
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
Elements fixés et n'apparaissant plus ds le rapport:
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exeO4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit Operative Systems.] 32Rpc.exe  
O4 - HKCU\..\Run: [wvsvc] wvsvc.exe
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.com/jar [...] gned35.cab  
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/conten [...] loader.cab  
O19 - User stylesheet: (file missing)  

à moins que je n'ai des problèmes de vue ce soir, le log me semble ok, et les lignes que tu as déja fixées devaient bien l'être
 
y a juste ça qui me chagrine : c'est nommé Symantec et c'est dans Office mais d'après ce qu'on trouve sur le web c'est bon. O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE  

Pour hijack this, oui d'accord; le problème, c'est qu'après çà j'ai fait un scan avec RAV antivirus qui me détecte çà:
 
Found viruses  
File: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[1].cab->istactivex.dll  
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected  
   
File: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[2].cab->istactivex.dll  
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected  
   
File: C:\RECYCLER\S-1-5-21-436374069-1177238915-725345543-1003\Dc3289.dll  
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected  
   
File: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CTIVW52J\0006_regular[1].cab->istactivex.dll  
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected  
 
 
 

en vidant le temp d'IE ça suffit pas?
 
sinon regarde de ce côté là : http://www3.ca.com/securityadvisor [...] =453074559 dans la section "Detection and Removal"