Virus très coriace
Virus très coriace - Virus/Spywares - Windows & Software
Marsh Posté le 24-04-2007 à 11:10:17
Hello
A tu essayé de supprimer toi a la main en mod sans echec ?
Marsh Posté le 24-04-2007 à 11:22:28
Effectivement cyclope, j'ai oublié de précisé que .exe n'existe pas sur c:\winnt\system32. J'ai également oublié de préciser que dans la colonne application de McAfee, il fait référence à SERVICES.EXE
Merci de ton aide
Marsh Posté le 24-04-2007 à 14:30:52
En fait j'ai l'impression qu'il se lance toutes les 30 minutes environ car après redemarrage du serveur je peux installer n'importe quel programme. Dès que McAfee me le détecte, c'est fini. Comment puis-je l'identifier ?
Marsh Posté le 24-04-2007 à 14:33:17
euh juste comme ca, s'il s'appelle .exe, c'est pas un fichier caché? ils sont bien afficés les fichiers cachés? 
Marsh Posté le 24-04-2007 à 15:07:34
malheureusement tous les fichiers sont affichés et je n'ai pas de .exe
C'est quelquechose qui se lance, donc il doit avoir quelque part un service ou une tache planifiée mais impossible de voir où
Marsh Posté le 24-04-2007 à 15:49:13
Hello,
Télécharges SmitFraudFix (siri.urz.free.fr) et démarres en mode sans échecs, lance l'option fix et poste le rapport...
A+
Marsh Posté le 25-04-2007 à 08:53:12
Excuse moi med, mais je croyais que l'on était mercredi hier. Je fais çà demain matin sans faute. Et encore merci pour ton aide
Marsh Posté le 25-04-2007 à 10:48:52
Pas de fix spécifique chez Kaspersky.
Qqes infos : http://www.viruslist.com/fr/viruse [...] usid=85148
Sinon, un démarrage mode sans échec et un scan en ligne ?
Ou alors F-Prot à partir du DOS (gratuit).
Si le backdoor n'est pas lancé au démarrage, as-tu vérifie ta liste de démarrage HKLM & HKCU\Software\Microsoft\Windows\Current Version\Run
Marsh Posté le 25-04-2007 à 13:48:08
Trop fort Trevor.
Je te remercie beaucoup.
J'ai deux processus dans HKLM\Software\Microsoft\Windows\Current Version\Runqui se lancent qui ne sont pas très sympa à croire les sites que j'ai visité. Il s'agit de atchew.exe et pacoba.exe
Je remercie tous ceux qui ont participé à mon problème.
Merci
Marsh Posté le 02-05-2007 à 17:32:24
Fausse joie !!!!!
Mon problème est de retour. Je ne sais plus quoi faire snif !!!!!
Marsh Posté le 02-05-2007 à 17:47:40
---Edit modo : les logs hijackthis, non merci... ---
Message édité par Wolfman le 03-05-2007 à 09:21:31
Marsh Posté le 02-05-2007 à 17:50:19
LOG VIRUS SCAN
30/04/2007 09:20:08 Échec du déplacement (échec du nettoyage, fichier non nettoyable) AUTORITE NT\SYSTEM C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\7EW1BLA6\1[2].exe W32/Sdbot.worm.gen.ax
30/04/2007 09:20:10 Supprimé AUTORITE NT\SYSTEM C:\U.exe W32/Sdbot.worm
30/04/2007 12:32:35 Échec du déplacement (échec du nettoyage, fichier non nettoyable) AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.ax
30/04/2007 13:02:04 Échec du déplacement (échec du nettoyage, fichier non nettoyable) AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.ax
30/04/2007 13:10:54 Échec du déplacement (échec du nettoyage, fichier non nettoyable) AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.y
30/04/2007 14:15:23 Échec du déplacement (échec du nettoyage, fichier non nettoyable) AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.y
30/04/2007 14:42:33 Échec du déplacement (échec du nettoyage, fichier non nettoyable) AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.ax
30/04/2007 17:37:23 Échec du déplacement (échec du nettoyage, fichier non nettoyable) AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.y
01/05/2007 08:44:02 Statistiques :
01/05/2007 08:44:02 Fichiers analysés : 64822
01/05/2007 08:44:02 Fichiers infectés : 6
01/05/2007 08:44:02 Fichiers nettoyés : 0
01/05/2007 08:44:02 Fichiers supprimés : 0
01/05/2007 08:44:02 Fichiers déplacés : 0
02/05/2007 11:33:51 Échec du déplacement (échec du nettoyage, fichier non nettoyable) AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.ax
02/05/2007 14:46:04 Échec du déplacement (échec du nettoyage, fichier non nettoyable) AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.ax
02/05/2007 16:45:10 Échec du déplacement (échec du nettoyage, fichier non nettoyable) AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.y
Marsh Posté le 02-05-2007 à 17:56:18
ca va trancher... 
essayes d'abord de mettre ton log sur http://hijackthis.de
Marsh Posté le 08-05-2007 à 12:42:30
SmitFraudFix v2.171
Rapport fait à 8:43:53,34, sam. 05/05/2007
Executé à partir de F:\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{169E0AFC-7E02-4ED2-BB04-0D2F98EF1A07}: NameServer=127.0.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{212C7069-B1DD-4253-A8C4-DD2718BA67EB}: NameServer=192.168.11.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7BAF2F30-82FA-45E6-9E42-41524610C083}: NameServer=192.168.11.1,192.168.14.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{169E0AFC-7E02-4ED2-BB04-0D2F98EF1A07}: NameServer=127.0.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{212C7069-B1DD-4253-A8C4-DD2718BA67EB}: NameServer=192.168.11.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7BAF2F30-82FA-45E6-9E42-41524610C083}: NameServer=192.168.11.1,192.168.14.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{169E0AFC-7E02-4ED2-BB04-0D2F98EF1A07}: NameServer=127.0.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{212C7069-B1DD-4253-A8C4-DD2718BA67EB}: NameServer=192.168.11.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7BAF2F30-82FA-45E6-9E42-41524610C083}: NameServer=192.168.11.1,192.168.14.1
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Marsh Posté le 08-05-2007 à 12:42:45
SmitFraudFix v2.171
Rapport fait à 8:59:18,73, sam. 05/05/2007
Executé à partir de F:\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\dmadmin.exe
C:\WINNT\system32\cmd.exe
C:\WINNT\explorer.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.SPC
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.SPC\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1.SPC\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{169E0AFC-7E02-4ED2-BB04-0D2F98EF1A07}: NameServer=127.0.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{212C7069-B1DD-4253-A8C4-DD2718BA67EB}: NameServer=192.168.11.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7BAF2F30-82FA-45E6-9E42-41524610C083}: NameServer=192.168.11.1,192.168.14.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{169E0AFC-7E02-4ED2-BB04-0D2F98EF1A07}: NameServer=127.0.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{212C7069-B1DD-4253-A8C4-DD2718BA67EB}: NameServer=192.168.11.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7BAF2F30-82FA-45E6-9E42-41524610C083}: NameServer=192.168.11.1,192.168.14.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{169E0AFC-7E02-4ED2-BB04-0D2F98EF1A07}: NameServer=127.0.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{212C7069-B1DD-4253-A8C4-DD2718BA67EB}: NameServer=192.168.11.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7BAF2F30-82FA-45E6-9E42-41524610C083}: NameServer=192.168.11.1,192.168.14.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Marsh Posté le 09-05-2007 à 13:18:47
Démarres en mode sans éches (F8 au démarrage) et utilise l'option fix.
Marsh Posté le 10-05-2007 à 14:50:59
Est ce que ca ne pourrais pas etre un virus qui remonte d'un poste client. J'ai mon logiciel de compta qui n'etait pas compatible avec l'antivirus qui etait sur mes machines. J'ai donc du le désinstaller sur quelques postes. Qu'en pensez-vous ?
Marsh Posté le 10-05-2007 à 21:30:44
l'av car le prog de compta c'est la principale appli métier
Marsh Posté le 11-05-2007 à 18:51:11
Et est-ce que tu as réinstallé un AV différent même gratuit 
?
Marsh Posté le 15-05-2007 à 11:53:24
Oui. J'ai mis antivir sur les postes clients. Par contre, je crois que je vais mettre nod32 sur le serveur pour voir.
J'énumère les principaux problèmes que j'ai actuellement :
1) Je ne peux plus installer de logiciel sur mon serveur (pb Windows Installer).
2) Je ne peux pas lancer le service SQL Server (gros pb).
3) Mon serveur redémarre vers 18h15 assez fréquemment.
Merci
Marsh Posté le 15-05-2007 à 11:55:29
C'est vraiment insupportable quand on n'arrive pas à résoudre ce genre de pb surtout sur le serveur. Ca serait ma machine encore.
Marsh Posté le 15-05-2007 à 17:42:20
Pour le problème de boot régulier vérifie dans le BIOS.
Concernant le service SQL Server, quel message d'erreur t'affiche-t-il ? Il serait peut être intéressant de réinstaller SQL Server...
Concernant le service windows installer je ne sais pour l'instant pas trop quoi te répondre, par contre fais un scan complet du serveur avec le scanner en ligne de kaspersky : htpp://webscanner.kaspersky.fr/
Poste le rapport entier.
Télécharge aussi AVG Antispyware : http://www.ewido.net/, mets le à jour, scanne et supprime ce qui est trouvé.
Télécharges également Listor CL : http://med365.co.nr/, pour l'instant, contente toi de décompresser l'archive cab et le sfx.
Sujets relatifs:
- virus, plantages, etc..
- virus ou trojan bloquent kaspersky merci de votre aide
- probleme virus peut etre???
- Virus de démonstration
- Norton détecte mes .exe comme des virus!!!
- [Bluesoleil.exe] Est-ce un virus ou trojan ?
- Virus win32 small gen dur a déloger , aide souhaitée svp
- j'ai probablement un virus, help me!
- Virus - Attention si vous surfez sur le site de ASUS
Marsh Posté le 24-04-2007 à 11:01:55
bonjour à tous,
J'ai un virus qui se lance sur un de mes serveurs (Windows 2000 Server). McAfee le détecte mais ne peux pas le supprimer. Celui-ci m'empêche d'installer des logiciels en me plantant Windows Installer. Voici le message remonté par McAfee :
Chemin d'accès : C:\Winnt\System32\.exe
Détecté en tant que : W32/Sdbot.worm.gen.y
Etat : Echec du déplacement (echec du nettoyage, fichier non nettoyable)
Avez-vous une idée de comment je peux le supprimer car après passage d'antivirus en ligne (trend house), de spyware (avg, spybot), il parait très coriace car il revient.
Merci à tous
Message édité par muggsy le 02-05-2007 à 17:17:29