[Résolu] Virus un peu trop malicieux
Dernière réponse : dans Sécurité
Bonjour à tous
Je suis pris avec un virus plutôt malicieux dont je n'arrive définitivement pas à me débarrasser. J'ai tenté de réparer mon installation de Windows, ça n'a pas fonctionné, j'ai ensuite tout formaté, ça n'a toujours pas fonctionné ( :-o ) et puis j'ai encore tenté de réparer l'installation. Pendant ce temps, j'ai du supprimer 1000 fois des virus (exe) générés au hasard. Résultats : je suis encore pris avec ce virus.
Bon, j'ai quand même pu trouver un peu plus de précisions sur ce virus. Il semblerait que quelqu'un quelque part a mon adresse ip (théorie plausible puisque même un formatage n'a rien enlevé) et a balancé son virus dans mon ordinateur (je n'avais pas encore eu le temps d'installer un firewall). Le virus en question génère des fichiers exécutables directement dans le dossier du lecteur C (screenshot de C:/ : http://img73.imageshack.us/img73/6907/probvir2xp.png) J'ai remarqué que ces fichiers en téléchargent d'autres automatiquement sur l'internet car ma connexion m'indique que plusieurs milliers d'octets de données sont continuellement reçues. De plus, dès que je me déconnecte de l'internet, la fenêtre de connexion à mon fournisseur d'accès internet n'arrête pas de s'ouvrir.
De plus, je crois que ce problème a un lien avec internet explorer. Semblerait que mon antivirus trouve certains exe dans le dossier des fichiers temporaires d'Internet Explorer.
J'apprécierais grandement votre aide pour trouver une solution moins encombrante que de changer d'ip...
Merci d'avance.
Je suis pris avec un virus plutôt malicieux dont je n'arrive définitivement pas à me débarrasser. J'ai tenté de réparer mon installation de Windows, ça n'a pas fonctionné, j'ai ensuite tout formaté, ça n'a toujours pas fonctionné ( :-o ) et puis j'ai encore tenté de réparer l'installation. Pendant ce temps, j'ai du supprimer 1000 fois des virus (exe) générés au hasard. Résultats : je suis encore pris avec ce virus.
Bon, j'ai quand même pu trouver un peu plus de précisions sur ce virus. Il semblerait que quelqu'un quelque part a mon adresse ip (théorie plausible puisque même un formatage n'a rien enlevé) et a balancé son virus dans mon ordinateur (je n'avais pas encore eu le temps d'installer un firewall). Le virus en question génère des fichiers exécutables directement dans le dossier du lecteur C (screenshot de C:/ : http://img73.imageshack.us/img73/6907/probvir2xp.png) J'ai remarqué que ces fichiers en téléchargent d'autres automatiquement sur l'internet car ma connexion m'indique que plusieurs milliers d'octets de données sont continuellement reçues. De plus, dès que je me déconnecte de l'internet, la fenêtre de connexion à mon fournisseur d'accès internet n'arrête pas de s'ouvrir.
De plus, je crois que ce problème a un lien avec internet explorer. Semblerait que mon antivirus trouve certains exe dans le dossier des fichiers temporaires d'Internet Explorer.
J'apprécierais grandement votre aide pour trouver une solution moins encombrante que de changer d'ip...
Merci d'avance.
Autres pages sur : resolu virus malicieux
Lassé par la pub ? Créez un compte
Bonjour Gboisseau55,
Poste un log HijackThis.
Télécharge le, puis met le dans un dossier dédié (exemple : ..\Bureau\Hijackthis\Hijackthis.exe ).
Ensuite, lance le, appuie sur Do a system scan a save a logfile, et donne nous le résultat du scan
www.infos-du-net.com/telecharger/HijackThis.html
Poste un log HijackThis.
Télécharge le, puis met le dans un dossier dédié (exemple : ..\Bureau\Hijackthis\Hijackthis.exe ).
Ensuite, lance le, appuie sur Do a system scan a save a logfile, et donne nous le résultat du scan
www.infos-du-net.com/telecharger/HijackThis.html
Citation :
Si tu te déconnectes , tu changes d'ip , si tu réinstalles ton log de connexion internet , tu réinitialises tout tout tout , c'est invraisemblableNon, seulement, avec mon fournisseur, il risque d'y avoir des frais supplémentaires pour ça. Donc avant d'en arriver là, j'aimerais envisager d'autres solutions.
Scan de HiJackThis :
Logfile of HijackThis v1.99.1
Scan saved at 10:54:28, on 2006-07-11
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\BearShare\BearShare.exe
C:\Program Files\Temple of Transgressions SecureSys\TScutyNT.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\R2FicmllbCBCb2lzc2VhdQ\command.exe
C:\Program Files\Network Monitor\netmon.exe
C:\Program Files\Temple of Transgressions SecureSys\OPF\OPFSVC.exe
C:\Program Files\Temple of Transgressions SecureSys\OPF\pfsvc.exe
C:\WINDOWS\spool.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\drsmartload1.exe
c:\drsmartload1.exe
C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE
c:\drsmartload1.exe
C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Documents and Settings\Gabriel Boisseau\Mes documents\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: OsbornTech Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\Program Files\Temple of Transgressions SecureSys\PopupBlocker\PopupBlocker.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Total Security] "C:\Program Files\Temple of Transgressions SecureSys\TScutyNT.exe"
O4 - HKLM\..\Run: [newname] c:\\nwnme_5.exe
O4 - HKLM\..\Run: [defender] c:\\dfndre_5.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrde_5.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Popup Blocker - {0D555BC6-E331-48b3-A60E-AAC0DF79438A} - C:\Program Files\Temple of Transgressions SecureSys\PopupBlocker\PopupBlocker.dll
O9 - Extra 'Tools' menuitem: Popup Blocker - {0D555BC6-E331-48b3-A60E-AAC0DF79438A} - C:\Program Files\Temple of Transgressions SecureSys\PopupBlocker\PopupBlocker.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6F5A1D1-E0D1-40DA-9627-D8C077C5E40A}: NameServer = 206.123.6.11 206.123.6.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R2FicmllbCBCb2lzc2VhdQ\command.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: OPFSVC - Unknown owner - C:\Program Files\Temple of Transgressions SecureSys\OPF\OPFSVC.exe
O23 - Service: Personal Firewall - Unknown owner - C:\Program Files\Temple of Transgressions SecureSys\OPF\pfsvc.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\spool.exe
Re,
Il y a de l'infection dans l'air !! commence par faire sa :
Télécharge ewido :
http://www.ewido.net/en/download/
Tu l'installes.
Lance Ewido et clique sur le bouton Update (barre d'outils - au haut).
Sous Manual Update clique Start update. Patiente jusqu'à l'affichage "Update successful".
Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.
Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan.
A la fin du scan, choisis l'option " Apply All Actions " en bas. Puis, Yes pour mettre en quarantaine.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte, sauvegarde le sur ton bureau.
Redémarre normalement et poste le rapport d'ewido ainsi qu’un nouveau Log HijackThis
Il y a de l'infection dans l'air !! commence par faire sa :
Télécharge ewido :
http://www.ewido.net/en/download/
Tu l'installes.
Lance Ewido et clique sur le bouton Update (barre d'outils - au haut).
Sous Manual Update clique Start update. Patiente jusqu'à l'affichage "Update successful".
Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.
Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan.
A la fin du scan, choisis l'option " Apply All Actions " en bas. Puis, Yes pour mettre en quarantaine.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte, sauvegarde le sur ton bureau.
Redémarre normalement et poste le rapport d'ewido ainsi qu’un nouveau Log HijackThis
Ewido semble avoir supprimé le virus initial et tous les autres qu'il a téléchargé sauf peut-être un seul, mais ce n'est plus un problème.
Merci à tous![:D]( ":D")
Je poste quand même le log de ewido au cas ou ça intéresserait quelqu'un.
---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------
+ Created at: 12:04:01 2006-07-11
+ Scan result:
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ILKJWR0R\Installer[1].exe -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\f02mlaf11d2.dll -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\guard.tmp -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\miaudite.dll -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\n22ulcf91f2.dll -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\swi_ci.dll -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\uyildll.dll -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\wgnotify.dll -> Adware.Look2Me : No action taken.
[652] C:\WINDOWS\system32\wgnotify.dll -> Adware.Look2Me : No action taken.
[772] C:\WINDOWS\system32\wgnotify.dll -> Adware.Look2Me : No action taken.
C:\Program Files\Common Files\Tаsks\nοpdb.exe -> Adware.PurityScan : No action taken.
C:\WINDOWS\system32\regsvr32.dll -> Adware.PurityScan : No action taken.
C:\WINDOWS\system32\wgtqwmfs.dll -> Adware.PurityScan : No action taken.
C:\WINDOWS\spool.exe -> Backdoor.SdBot.xd : No action taken.
C:\Program Files\Common Files\svchostsys\svchostsys.exe -> Downloader.Small : No action taken.
C:\Program Files\Common Files\svchostsys\svchostupdate.exe -> Downloader.Small : No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GHSTGJG5\MTE3NDI6ODoxNg[1].exe -> Downloader.Small.buy : No action taken.
C:\WINDOWS\MTE3NDI6ODoxNg.exe -> Downloader.Small.buy : No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8Z0NCBG9\!update-4020[1].0000 -> Trojan.PurityAd : No action taken.
C:\WINDOWS\Temp\!update.exe -> Trojan.PurityAd : No action taken.
C:\Program Files\Common Files\simtest\sysstall.exe -> Trojan.Zapchast.bl : No action taken.
Merci à tous
Je poste quand même le log de ewido au cas ou ça intéresserait quelqu'un.
---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------
+ Created at: 12:04:01 2006-07-11
+ Scan result:
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ILKJWR0R\Installer[1].exe -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\f02mlaf11d2.dll -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\guard.tmp -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\miaudite.dll -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\n22ulcf91f2.dll -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\swi_ci.dll -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\uyildll.dll -> Adware.Look2Me : No action taken.
C:\WINDOWS\system32\wgnotify.dll -> Adware.Look2Me : No action taken.
[652] C:\WINDOWS\system32\wgnotify.dll -> Adware.Look2Me : No action taken.
[772] C:\WINDOWS\system32\wgnotify.dll -> Adware.Look2Me : No action taken.
C:\Program Files\Common Files\Tаsks\nοpdb.exe -> Adware.PurityScan : No action taken.
C:\WINDOWS\system32\regsvr32.dll -> Adware.PurityScan : No action taken.
C:\WINDOWS\system32\wgtqwmfs.dll -> Adware.PurityScan : No action taken.
C:\WINDOWS\spool.exe -> Backdoor.SdBot.xd : No action taken.
C:\Program Files\Common Files\svchostsys\svchostsys.exe -> Downloader.Small : No action taken.
C:\Program Files\Common Files\svchostsys\svchostupdate.exe -> Downloader.Small : No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GHSTGJG5\MTE3NDI6ODoxNg[1].exe -> Downloader.Small.buy : No action taken.
C:\WINDOWS\MTE3NDI6ODoxNg.exe -> Downloader.Small.buy : No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8Z0NCBG9\!update-4020[1].0000 -> Trojan.PurityAd : No action taken.
C:\WINDOWS\Temp\!update.exe -> Trojan.PurityAd : No action taken.
C:\Program Files\Common Files\simtest\sysstall.exe -> Trojan.Zapchast.bl : No action taken.
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumEliminer security warning virus résolu
- ForumVirus win32 résolu
- ForumVirus clavier fou résolu
- ForumAnti virus peu gourmand
- ForumRapport hijackthis peu etre virus
- ForumSystem doctor virus qqn peu maider svp
- ForumVirus trop difficile a enlever
- ForumPeu t on mettre deux anti virus
- ForumOrdi peu etre infecte virus swizzor
- ForumDefinitions de virus trop vieilles
- Voir plus
