Trojan inlocalisable attaquant la base de registres....
Trojan inlocalisable attaquant la base de registres.... - Win NT/2K/XP - Windows & Software
Marsh Posté le 19-11-2006 à 20:08:54
C:\WINDOWS\svhost32.exe
trop facile.
Et c'est un bon http://www.generation-nt.com/proce [...] 2-exe/294/
Message édité par Prems le 19-11-2006 à 20:09:26
---------------
Ratures - Cuisine
Marsh Posté le 19-11-2006 à 20:19:25
merci pr ta reponse, le fait que le trohjan post des liens a mes contacts msn etait devenu assez derangeant...
mais je ne comprends pas ton lien; Peux tu me lexpliquer ?
Marsh Posté le 19-11-2006 à 20:22:05
http://www.symantec.com/region/fr/ [...] aloln.html
Ce lien t'explique ce qu'il fait et donne des indications pour le virer.
---------------
Ratures - Cuisine
Marsh Posté le 19-11-2006 à 20:42:23
Au fait, jai appliqué HijackThis, jai bien supprimé la ligne avec svchost32.exe, mais apres avoir redemarré, le virus est revenu...comme avant.
Ya pas une autre solution ?
Marsh Posté le 19-11-2006 à 20:43:20
Lire attentivement les liens que je donne, ça peut aider, aussi.
http://www.google.fr/search?source [...] host32.exe
---------------
Ratures - Cuisine
Marsh Posté le 19-11-2006 à 20:47:26
je lis tes liens, ne tinkiete pas, mais il ne me dit pas comment supprimer definitivement svchost32.exe, si ce nest passer par une version payante de wintasks 5....
Explique moi alors pourquoi tu mas posté ce lien ?
Sujets relatifs:
- pb virus MemScan:Trojan.Virtumod.BL
- [Brightstor] Comment réinitialiser une base
- Virus s'attaquant au périphérique de stockage!
- Trojan horse proxy 25L, ma bête noire!!
- trojan Win32:Small-CQI
- PB de pc qui reboot, virus, trojan ou autre?
- infecté avec trojan win32 : small CGR
- problème de base de donnée sur outlook
- soft de gestion de base de données
Marsh Posté le 19-11-2006 à 19:53:59
Bonjour, à tous,
suite a la manipulation de mon pc hier par ma soeur, je me retrouve aujourdhui avec ma page de demarrage d'IE6 bloquée sur un site de rencontres, que je ne connais pas.
Je me dis que bon tout ca cest bien rigolo deux minutes, mais je mapercois tres vite que :
- il est impossible de changer de page de demarrage dans IE6 (la zone est grisée)
- l'acces au regedit a été bloqué
- le gestionnaire des taches a été bloqué
- pire, lorsque j'ouvre msn, il arrive qu'un processus ouvre toutes les fenetres de mes contacts en ligne, et leur envoie un message de pub.
Apres un passage de HijackThis, voici le log que j'obtiens :
Logfile of HijackThis v1.99.1
Scan saved at 19:41:10, on 19/11/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\soundman.exe
C:\Program Files\Philips ToUcam Camera\VProperty.exe
C:\WINDOWS\svhost32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Al\Bureau\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [ToUcamVProperty] C:\Program Files\Philips ToUcam Camera\VProperty.exe
O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\svhost32.exe
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\svhost.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PalStart.lnk = C:\Program Files\Paltalk Messenger\palstart.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
ayant vu ça, je supprime donc les lignes avec HKCU, qui bloquent l'acces au regedit et le changement de page de demarrage d'IE6.
Je trouve ensuite dans le regedit le fichier qui me bloquait le TaskManager, que je mets a 0.
Sur ce, je redemarre un bon coup et... tout est a refaire.
apres etre passé par cleanup, adaware, spybot, cwshredder, killbox et regcleaner, je me sens depassé,, et il est impossible de me debarasser de ce virus ou trojan.
Si quelquun sait comment je peux m'en sortir sans formatage, son intervention est tres bienvenue.
Message édité par Kosaris le 19-11-2006 à 20:24:42