Virus type Trojan et Gaobot permanent
Forum Sécurité - Virus : Virus type Trojan et Gaobot permanent
Bonjour,
J'ai récupéré ces virus depuis environ 15 jours voire 3 semaines et je n'arrive pas à m'en débarasser. J'ai mon PC qui se relance (plante) régulièrement ainsi que des alarmes qui reviennent en permanence bien qu'elles aient été mis en en quarantaine.
J'ai suivi une pocédure trouvé dans ce forum mais le résultat estnégatif à savoir j'ai toujours mes bébébettes :
-Démarrage en mode sans echec,
-scan anti virus en lignes
-Anti virus ; AVAST Kapersky
J'ai ensuite fait un fichier log avec HijackThis que je joins à ce mail en esperant que quelque puisse me donner un remède efficace...
Logfile of HijackThis v1.99.1
Scan saved at 10:24:23, on 20/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\netdrvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rwnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\sfx.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\FreeGo\FreeGo.exe
C:\Program Files\a-squared\a2guard.exe
C:\WINDOWS\helper.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
D:\Telechargement\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Windowsz] rwnt.exe
O4 - HKLM\..\Run: [Alive SYstem] C:\WINDOWS\System32\scchost.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [symwsc.exe] C:\ahsd.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sfx.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [FreeGo] C:\Program Files\FreeGo\FreeGo.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 4834962121
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\j0j60a1sed.dll
O21 - SSODL: winmgmt - {D1F23800-A624-B85D-FBA1-DE1F87C67531} - C:\WINDOWS\help\adprop.hlp
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D'avance merci eyt à bientôt.
Salut,
Tu as une infection Look 2 Me entre autres.
Scan ton PC avec Spy Sweeper.
Ensuite faite ceci :
1) Redémarre l'ordinateur en mode sans échec.
1) Redémarre l'ordinateur
2) Après les écritures du BIOS, appuie sur la touche F8 (si F8 ne marche pas, appuie sur F5) pour arriver à un menu avec des écritures blanches sur un fond noir.
3) Dans ce menu, utilises les flèches de ton clavier pour naviguer et choisir le mode sans échec. Valide avec la touche Entrée.
4) Le démarrage en mode sans échec est long généralement. Tu vas avoir des écritures blanches bizarres, ne t'inquiète pas c'est normal. Prend ton mal en patience pour que ça démarre.
5) Si au bout d'un trop long temps (genre 5 minutes), ça n'a toujours pas redémarré, dis le, je t'expliquerais comment faire sans redémarrer en mode sans échec.
[/quote]
2) Relance HijackThis pour fixer des lignesDo a system scan only[/b] cette fois-ci.
Coche toutes les lignes que je t'indique, et appuie sur Fix Checked.
| Citation :
|
3) Affiche tous les fichiersPoste de Travail[/b], et fais ceci :
Outils -> Options des dossiers -> onglet Affichage
Il faut que la configuration de ces trois lignes soit comme ceci :
Afficher les fichiers cachés : Cochée
Masquer les extensions des types connus : Décochée
Masquer les fichiers protégés du système d'exploitation : Décochée
4) Supprime des fichierssfx.exe[/b]
C:\WINDOWS\System32\scchost.exe
C:\ahsd.exe
/!\ Attention, certains fichiers ont une écriture presque équivalente à certains fichiers de Windows !
Ne supprime que les fichiers avec l'écriture exacte, et le chemin exact !!
Si tu trouves d'autres fichiers portant le même nom dans d'autres répertoires, signale le moi ! /!\
rwnt.exe
[/b]
Généralement, ces fichiers sont situés dans C:\Windows ou C:\Windows\system32.
Si tu ne les trouves pas, fais une recherche avec Windows pour les trouver.
5) Redémarre normalement6) Remet la configuration de l'affichage comme avantMasquer les fichiers protégés du système d'exploitation[/b] décochée.
7) Fais un scan online avec KasperskyKaspersky Online Scanner[/b]
- Tu auras une pop-up qui s'ouvre avec quelques explications sur le scan online. Appuie sur Accept
- Si tu lances Kaspersky Online Scanner pour la première fois, il faudra accepter l'Active X.
- Kaspersky met à jour les définitions de virus, patiente...
Une fois que la mise à jour est finie.
- Clique sur Next
- Clique sur My Computer
- Le scan va alors se réaliser (attention, le scan risque d'être long)
- Une fois que le scan est fini, poste moi ton log
8) Reposter un log HijackThis[/color]
Peut-être que la première vague de suppression ne suffira pas, dans ce cas là, reposte un log HijackThis.
Il y a 2592 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
