Tom's Guide > Forum > Sécurité - Virus > Virus sous XP Pro
Mot :    Pseudo :           
 

Voila,tout d'abbord bonjour,je m'appele Alain,j'ai 31 ans et suis en Belgique.
Mon probleme est: J'ai eu un mail d'un contact,dedans une image,je clique dessus ca a lancé un programma exe puis impossible d'aller dans la barre d'outils en bas de l'ecran,d'ouvrir le menu demarrer de lacer un icone etc etc
Bref tout est bloqué.
Mais ayant eu des soucis il y a 6 mois avec un virus,j'ai deux partitions,1 windows et une linux.
Actuellement,windows est hs,je suis sous linux.
Ma question est:comment localiser le virus,ou le chercher et comment le supprimer sachant que je ne sais pas lancer de programmes sous XP.
Merci de votre aide.

Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.

Salut fait un scan avec un logiciel antivirus sous linux

Répondre à ViBe@IDN

je n'en aai pas,j'en trouve ou?

Répondre à BX14RE

sinon vas a cette adresse

MultiVirus Cleaner
http://www.viruskeeper.com/fr/mvc2005.zip
Tu le dézippes dans un répertoire dédié.
Lance un scan en mode complet.et dis ce qu'il a trouver.
si tu ne trouve rien vas la
http://www.infos-du-net.com/telech [...] kThis.html
telecharge hijackthis met le dans un dossier ou tu veut sauf sur le bureau fais un scan et poste le rapport

Répondre à ericlap

Merci beaucoup,j'essaye ca et reviens apres
Super Forum rapide et en plus sympa,j'en parlerais sur les autres forums ou je traine.

Répondre à BX14RE

j'y arrive pas,pas moyen d'installer F-Prot
Comment fait on?

Répondre à BX14RE

fait ca
http://www.infos-du-net.com/telech [...] kThis.html
telecharge hijackthis met le dans un dossier ou tu veut sauf sur le bureau fais un scan et poste le rapport

telecharger ccleaner
a cette adresse met la a jour et lance le et fait un nettoyage
http://www.infos-du-net.com/telech [...] kThis.html
telecharge hijackthis met le dans un dossier ou tu veut sauf sur le bureau fais un scan et poste le rapport
va supprimer tes cookies et tes fichiers temp(clic droite sur l'icone internet d ton bureau et poste un log hijackthis

Répondre à ericlap

oui mais sous linux,il me demande avec quel logiciel je veux l'ouvrir et je lui dis quoi moi?

Répondre à BX14RE

pour dezipper ton fichier sous linux il tefaut GZIP telecharge le a cette adresse
http://www.01net.com/windows/Utili [...] 28454.html

Répondre à ericlap

il est dezipe et sous forme exe,puis apres je fais quoi?

Répondre à BX14RE

je suis sous linux pas windows

Répondre à BX14RE

je l'ai localisé mais comment le supprimer?
HELP,j'ai besoin d'aide

Répondre à BX14RE

je l'ai identifié,c'est le troyen "Tooso.J".
Comment s'en debarasser?
Que dois faire?
A l'aide.

Répondre à BX14RE

il faut le trouver sous format rpm je n'ai pas vu sur intrnet j'ateind la limite de mes capacite malheureusement mais des gens plus averti vont certainement venir te voir
salut

Répondre à ericlap

Merci quand meme pour ton aide.

Répondre à BX14RE

alors j'ai trouve ceci
2.2) Extraction d'une archive .TAR.GZ

Syntaxe: tar <options> <fichier .tar.gz à extraire>

Dans les options, on doit mettre x pour extraire l'archive indiquée, f pour indiquer qu'il s'agit d'un fichier, on peut mettre z pour décompresser avec Gzip, et v si on désire avoir la liste des fichiers compressés qui défile.

Exemple: tar xfvz kfilecoder.tar.gz

Dans cet exemple, on extrait l'archive kfilecoder.tar.gz, en la décompressant avec Gzip, tous les fichiers sont copiés dans le dossier courant.

Remarque: attention à la casse. Par exemple l'option z (minuscule) pour compresser au format Gzip ne doit pas être confondue avec l'option Z (majuscule) qui compresse au format Compress, qui est totalement différent.

si tu arrive a l'extraire en format rpm recre un sujet en mettant analyse log hijackthis
bon courage

Répondre à ericlap

Bonjour et merci,apparement,je l'ai eu,il n'y a aucun virus detecté avec Norton.
Mais est il fiable?Y a t il un antivirus meilleur a télécharger?
Je suis resté dessus jusqu'a 1h du matin.A la fin,j'ai abandonné linux,redemaré sous XP et lancer desuite la recherche du fichier " WINSHOST.exe",ce fichier s'installe dans le fichier " WIN32"
Une fois celui ci trouvé,je l'ai supprimé mais est ce suffisant?

Répondre à BX14RE

Voila,j'ai lancer une analyse "SECUSER" en ligne,pour le moment il me trouve une dizaine de "TROJ SWIZZOR EI ou EJ ou EH et meme un DQ" plus "BAGLE AA" comment les virer ces Virus?Secuser me les decrit comme " non cleanable"?

Répondre à BX14RE

salut va faire un scan en ligne sur panda puis poste son rapport on supprimera les fichier manuellement

ici

Répondre à alessio@IDN

comment poster le rapport?

Répondre à BX14RE

tu attend que panda aie fini il te montrera ce que tu as et tu fait un copier coler

Répondre à alessio@IDN

Ca va,j'attends,il tourne en ce moment

Répondre à BX14RE

Voici le premier rapport de panda.Il a supprime deux virus me dit il.
avast avait detecte plus que ca et pas les meme?
J'ai editer pour pas mettre plusieur log[/font]

Répondre à BX14RE

maintenat que ton windows refonctionne poste un log hijackthis comme tu as poste ton log de panda.
si tu n'a pas telecharger ccleaner fait le quand a norton moi je ne l'utilise pas mais il prendrait beaucoup de place memoire et ne serait pas tres efficace beaucoup de gens parle d'avast sur ce site(il est gratuit et parait-il tres efficace)

Répondre à ericlap

c est bon je m occupe de lui sur msn il est venu sur mon adresse

Répondre à alessio@IDN


J'ai editer pour pas mettre plusieurs log[/font]

Répondre à BX14RE

voila le log hijckthis
Logfile of HijackThis v1.99.1
Scan saved at 12:16:12, on 9/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

J'ai editer pour pas mettre plusieurs log[/font]

Répondre à BX14RE

Je dois partir,je reviens cette aprem

Répondre à BX14RE

Me revoila,j'ai installer Avast,Ewido et Spybot.
Apres les avoir laisser travailles,j'ai refait un log sur HijackThis.
Voici le nouveau log.


J'ai editer pour pas mettre plusieurs log[/font]

Répondre à BX14RE

re salut commence par desinstaller mesenger plus si tu la installer avec les sponsors.
ensuite telecharge ccleaner
http://www.infos-du-net.com/telecharger/CCleaner.html
je ne suis pas un grand specialiste mais je vais essayer de regarder ton log

Répondre à ericlap

attention si tu as toujours norton desinstalle l'un de tes deux antivirus.

Répondre à ericlap

Norton est desinstaller,ccleaner travaille en se moment.
Y a t il un endroi pour "copier" une baniere de votre forum pour mettre dans mes signatures sur les autres forum ou je traine mes savates?

Répondre à BX14RE

ccleaner me marque tous mes cookie a effacer,mais certains me sont utile,comment reconnaitre les inutile?

Répondre à BX14RE

Le nouveau log:
Logfile of HijackThis v1.99.1
Scan saved at 18:09:55, on 9/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\MSN Apps\Updater\01.03.0000.1005\fr-be\msnappau.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_02\bin\jucheck.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Yahoo!\Messenger\ypager.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\CCleaner\ccleaner.exe
C:\Documents and Settings\Alain BENOIT\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.pnwfiegnrlyemwmmaebkjge [...] FIGVj.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uceckyptwpffqsfl.com/EW [...] q5MCPk.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com/?.home=msgr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/i [...] .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/?.home=msgr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/i [...] .yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {60BE3E29-5727-DFCC-7A5B-818690C1BEC3} - C:\DOCUME~1\ALAINB~1\APPLIC~1\CREATI~1\OneStore.exe (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.03.0000.1005\fr-be\msnappau.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Compmfcdinfovc] C:\Documents and Settings\All Users\Application Data\Keep dvd comp mfcd\Readme Save.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Noun tray] C:\DOCUME~1\ALAINB~1\APPLIC~1\ACIDDA~1\Part dead.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesfr.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.secuser.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?li [...] lcid=0x409
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ [...] /setup.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 2301018968
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Protocol: hola - {626601A0-4BAE-11D1-A7E1-00A0246C1E64} - C:\Program Files\Liris Interactive\Le Petit Larousse\HURLPROT.DLL
O18 - Protocol: holb - {626601A1-4BAE-11D1-A7E1-00A0246C1E64} - C:\Program Files\Liris Interactive\Le Petit Larousse\HURLPROT.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Répondre à BX14RE

je n'arrive pas a identifier ton probleme je ne suis pas assez agueri pour cela j'ai vu que cdans tes lignes r0 et r1 les min start url default et autre n'etait pas bonne.Avez tu installe messenger plus avec les sponsors si oui desinstalle et reinstalle sans.
Si tu veut que quelqu'un vienne t'aider rapidement crer un autre topic avec pb analyse log hijackthis et des gens comme
chercheurpca /adware/leitho/lovelyboy/esteban54 et tous ce que je ne connais viendront t'aider ils sont vraiment super.Je suivrer son evolution avec grand interet bon courage a+.

Répondre à ericlap

juste encore un truc a tu esayer ca
MultiVirus Cleaner
http://www.viruskeeper.com/fr/mvc2005.zip
tu a 13 antivirus en ligne il faudrait que tu trouve le chemin que prend ton virus et son nom exact

Répondre à ericlap

laisse tes log entier si te veut que quelqu'un puisse t'aider

Répondre à ericlap

arf trop tard
J'ai mis le dernier
Les autres sont effacer

Répondre à BX14RE

je ne suis pas tres calle a quoi te serve tes cookies utiles

Répondre à ericlap

Bein pour me logger sur les forum entre autre + pour le pcbanking,mon lien avec mon fournissuer d'acces etc
des trucs comme ca

Répondre à BX14RE

je ne suis sur ce forum que depuis 3 semaine car j'ai eut un gros soucis du nom rootkit.agent.p(sale bete)et depuis je supprime systematiquement tous les cookies et tous les fichiers temp quand je me suis deconnecte d'internet.Je pence qu'a chaque fois que tu y retourne tu les recharge sans le savoir.Je doit partir car le devoir m'apelle reposte ton log hijackthis en mettant analyse log svp en titre et tu vairas qu'ils ne tarderons pas a venir t'aider.Je regarderais ce soir en rentrant bon courage.
;-)

Répondre à ericlap
Tom's Guide > Forum > Sécurité - Virus > Virus sous XP Pro
Aller à :

Il y a 2818 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens