moe
-
20 mars 2005 à 23:41
Adi...
Messages postés22Date d'inscriptionsamedi 13 novembre 2004StatutMembreDernière intervention 5 novembre 2005
-
9 avril 2005 à 20:40
Salut à tous
Pour ceux qui ne peuvent se rendre sur un site traitant du sujet,
Voici une petite methode qui vaut ce qu'elle vaut avec hijackthis pour se debarrasser de:
Serflog A, B, C, alias WORM_FATSO, W32/Sumom, W32/Crog.worm
Puis :
Redémarrer en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres
l'ecran du bios)
---------------
-= 1 =-
lancer hijackthis, et clic sur "do a system scan only"
En bas à droite clic sur "config", puis sur "misc tools"
Et enfin sur "open process manager"
et rechercher:
msmbw.exe serbw.exe => pour Serflog A formatsys.exe
msmpatch.exe svosm.exe sysup.exe => pour Serflog B dsm.exe
csnss.exe mcsv.com => pour Serflog C svhost.exe
Si un ou plusieurs de ces processus sont présents:
les selectionner un par un(clic dessus), puis clic sur "kill process"pour chacuns.
(attention à l'orthographe des processus)
Une fois fait, en bas à droite clic sur "back"
------------------------
Pour serflog A:
Cocher et Fixer:
(cocher au début de chaques lignes valider avec fix checked)
il est préférable avant de modifier le registre de faire un sauvegarde des clés en question:
clic droit sur la clé =>clic sur exporter=> donner un nom à la sauvegarde, choisir l'emplacement et clic sur enregistrer.
Pour serflog A, B, C
aller dans:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\clic sur SystemRestore => dans la
fenetre de droite supprimer les 2 valeurs:
"DisableConfig" = "0"
"DisableSR" = "0"
pour rétablir l'onglet restauration systeme
-------------------------
Pour serflog C uniquement
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\clic sur Explorer supprimer, dans la fenetre de droite(ou mettre la valeur à 0):
"NoFolderOptions" = "1"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\clic sur Advanced supprimer la valeur:
hidden = "2"
Pour rétablir les options des dossiers
-------
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Policies\clic sur Explorer supprimer, dans la fenetre de droite(ou mettre la valeur à 0):
"NoWindowsUpdate" = "1"
Pour rétablir l'acces à windowsupdate
-------
HKEY_CURRENT_USER\SOFTWARE\Microsoft\clic sur MSNMessenger mettre sur 1, la valeur
"AvEnbl" = "0"
-= 3 =-
Rendre visible les fichiers cachés et systeme: panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"
C:\l0ser.HTML
C:\Crazy-Frog.Html
C:\lspt.exe
C:\Shoot Bill Gates!.exe
C:\Message to n00b LARISSA.txt
C:\British National Party.jpg
C:\Annoying crazy frog getting killed.pif
C:\Crazy frog gets killed by train!.pif
C:\Fat Elvis! lol.pif
C:\How a Blonde Eats a Banana...pif
C:\Jennifer Lopez.scr
C:\LOL that ur pic!.pif
C:\Me on holiday!.pif
C:\Mona Lisa Wants Her Smile Back.pif
C:\My new photo!.pif
C:\See my lesbian friends.pif
C:\The Cat And The Fan piccy.pif
C:\Topless in Mini Skirt! lol.pif
C:\One Eye Granny pic!.pif
C:\me drunk at The Sea!.pif
C:\Punk Lives! lol.pif
C:\Me Love You Long Time.pif
C:\Me pic.pif
C:\HillBilly Chick lol.pif
C:\Dumb Looking Goth Chick.pif
C:\Hot Blonde!.pif
C:\Modelling Her New Bikini.pif
C:\Crazy Japanese man kicks crazy frog!.pif
C:\Funny Hitler parody!.pif
C:\My birthday pic!.pif
C:\Funny Hitler parody.pif
C:\Death of crazy frog!.pif
C:\Really Cute.pif
C:\My piccy.pif
C:\Bungee-Fuck.pif
C:\I_love_you.123greetings.com.com
C:\Paris Hilton Sex Tape.pif
C:\Best_Friend.scr
C:\lol Busted Are Gay!.pif
C:\Saddam Song!.pif
C:\Me at the Beach!.pif
Vérifier aussi la présence dans:
C:\Program Files\eMule\Incoming dans Poste de travail => "documents partagés"
Pour Serflog A et B, dans certains cas il se copie dans:
C:\Documents and Settings\nom d'utilisateur\Local Settings\Application Data\Microsoft\CD Burning
Dans le but de se copier automatiquement sur chaque CD qui seront gravés, et d'être réexécuté automatiquement dès que le CD sera lu.
Supprimer ces 2 fichiers si vous les trouvez dans le dossier CD Burning
AUTORUN.EXE
AUTORUN.INF
Si ces 2 fichiers sont présents et que vous avez essayé de faire des sauvegardes sur CD de
vos documents en étant infecté, il y a de fortes chance que vos CD soient infectés.
Enfin, redemarrer normalement et tu devrais de nouveau avoir acces au sites AV en lignes pour faire un scan.
Après avoir fait scanner son pc en ligne et/ou avec son AV à jours et si tout est ok:
Désactiver la restau systeme:
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système"
Redemarrer le pc, puis réactiver la restau systeme pour supprimer toutes trace du virus des points de sauvegardes qui auraient pu etre infectés.
balltrap34
Messages postés16240Date d'inscriptionjeudi 8 janvier 2004StatutContributeur sécuritéDernière intervention28 novembre 2009331 20 mars 2005 à 23:46
jolie topic
il a du te prendre un peu de temp pour le faire
pour les 01 j aurais mis coccher tous les 01
etant donner que cela ne pose pas de soucis
bravo
balltrap34
Messages postés16240Date d'inscriptionjeudi 8 janvier 2004StatutContributeur sécuritéDernière intervention28 novembre 2009331 20 mars 2005 à 23:56
il y a des periodes comme cela
je survole le forum et si pas trop de recherche je prend honte a moi
c'est vrai qu'a force de repeter plus ou moins les memes choses, on essaye d'aller à l'essentiel.
Je sais pas depuis combien de temps tu es sur le forum, mais il doit y avoir des jours avec plus de lascitude que d'autres à force de voir passer des logs.
Je crois que c'est tout pour ce soir, morphée me tend les bras et pas envie de la faire attendre ^_^
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
balltrap34
Messages postés16240Date d'inscriptionjeudi 8 janvier 2004StatutContributeur sécuritéDernière intervention28 novembre 2009331 21 mars 2005 à 00:15