A voir également:
- Windows.dat trojan : gros problème
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Csrss.exe trojan ✓ - Forum Virus
- [Virus] Trojan ou virus dans csrss.exe et spo - Forum Virus
- Problème csrss.exe, virus? ✓ - Forum Virus
- Trojan b901 ✓ - Forum Virus
8 réponses
salut aetius
telecharge CWShredder:
http://cwshredder.net/bin/CWShredder.exe
et met le a jours. (important)
Déconnecte toi d'internet.
Vide le cache d'Internet Explorer et supprime les cookies:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] en cochant la case "Supprimer tout le contenu hors connexion"
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.
---------------------------------------------
Lance hijackthis et Fixe:
cocher la case au début des lignes suivantes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - Default URLSearchHook is missing
O9 - Extra button: Microsoft AntiSpyware helper - {DBD3BA8F-C201-4651-A72E-93A7323D6F69} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {DBD3BA8F-C201-4651-A72E-93A7323D6F69} - (no file) (HKCU)
O16 - DPF: {74B377F5-8375-7EE9-66E8-0F1A5EB2404D} - http://216.118.71.185/1/rdgFR1828.exe
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/AmylenaXXX.exe
O19 - User stylesheet: C:\WINDOWS\windows.dat
O21 - SSODL: SysTray.Ev - {F5B1D0BE-5f02-4255-96DB-388DFA244900} - (no file)
valider avec [fix checked]
-------------------------------
Rechercher et supprimer si présent:
C:\WINDOWS\windows.dat
-------------------------------
Ensuite, tres important:
Supprimer les fichiers temporaires:
Démarrer >> executer tape %temp%
valide
supprime tout ce qui est proposé.
Vide le contenu du dossier C:Windows\temp
--------------------------------
Lance Cwshredder et clic sur FIX
redemarre normalement et reposte un log hijackthis
a+
telecharge CWShredder:
http://cwshredder.net/bin/CWShredder.exe
et met le a jours. (important)
Déconnecte toi d'internet.
Vide le cache d'Internet Explorer et supprime les cookies:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] en cochant la case "Supprimer tout le contenu hors connexion"
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.
---------------------------------------------
Lance hijackthis et Fixe:
cocher la case au début des lignes suivantes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - Default URLSearchHook is missing
O9 - Extra button: Microsoft AntiSpyware helper - {DBD3BA8F-C201-4651-A72E-93A7323D6F69} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {DBD3BA8F-C201-4651-A72E-93A7323D6F69} - (no file) (HKCU)
O16 - DPF: {74B377F5-8375-7EE9-66E8-0F1A5EB2404D} - http://216.118.71.185/1/rdgFR1828.exe
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/AmylenaXXX.exe
O19 - User stylesheet: C:\WINDOWS\windows.dat
O21 - SSODL: SysTray.Ev - {F5B1D0BE-5f02-4255-96DB-388DFA244900} - (no file)
valider avec [fix checked]
-------------------------------
Rechercher et supprimer si présent:
C:\WINDOWS\windows.dat
-------------------------------
Ensuite, tres important:
Supprimer les fichiers temporaires:
Démarrer >> executer tape %temp%
valide
supprime tout ce qui est proposé.
Vide le contenu du dossier C:Windows\temp
--------------------------------
Lance Cwshredder et clic sur FIX
redemarre normalement et reposte un log hijackthis
a+
Je vais essayer cela mais j'ai déjà utiliser CWShredder qui ne me trouve. Je vais toutefois suivre ta procédure.
merci
merci
Cela n'a pas résolu le problème. Le truc est costaud et revient à chaque fois. D'habitude, il suffit de supprimer un fichier .exe ou .dll et çà marche mais pas là. J'ai toutefois supprimé les lignes 09 et 016 mais, en fait, elles étaient antérieures à ce problème et n'avaient donc pas de rapport avec lui.
J'ai lu sur un site anglais (spyware info, je crois) qu'il fallait en plus de windows.dat supprimer le fichier suivant :
c:\windows\system32\drivers\systemsvr.sys
Cette info ne m'inspire pas trop confiance car, d'une part, il s'agit d'un fichier système (et j'ignore sa fonction) et, d'autre part, la création de ce fichier ne correspond absolument pas à celle de windows.dat. Donc, si tu as des infos sur ce fameux systemsvr.sys, elles sont les bienvenues.
Le problème, c'est que windows.dat se recréé à chaque fois, il doit donc se lancer à partir d'un autre fichier mais je ne vois pas lequel (peut-être un rapport avec systemsvr.sys ????).
Voici le rapport de Hijack this et merci pour ton aide.
Logfile of HijackThis v1.99.1
Scan saved at 18:19:17, on 09/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Program Files\Grisoft\AVG Free\avgemc.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Documents and Settings\MOI\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKCU\..\RunServicesOnce: [washindex] C:\Program Files\Washer\washidx.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115374928011
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/threatinfo/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O19 - User stylesheet: C:\WINDOWS\windows.dat
O21 - SSODL: SysTray.Ev - {F5B1D0BE-5f02-4255-96DB-388DFA244900} - (no file)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
J'ai lu sur un site anglais (spyware info, je crois) qu'il fallait en plus de windows.dat supprimer le fichier suivant :
c:\windows\system32\drivers\systemsvr.sys
Cette info ne m'inspire pas trop confiance car, d'une part, il s'agit d'un fichier système (et j'ignore sa fonction) et, d'autre part, la création de ce fichier ne correspond absolument pas à celle de windows.dat. Donc, si tu as des infos sur ce fameux systemsvr.sys, elles sont les bienvenues.
Le problème, c'est que windows.dat se recréé à chaque fois, il doit donc se lancer à partir d'un autre fichier mais je ne vois pas lequel (peut-être un rapport avec systemsvr.sys ????).
Voici le rapport de Hijack this et merci pour ton aide.
Logfile of HijackThis v1.99.1
Scan saved at 18:19:17, on 09/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Program Files\Grisoft\AVG Free\avgemc.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Documents and Settings\MOI\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKCU\..\RunServicesOnce: [washindex] C:\Program Files\Washer\washidx.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115374928011
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/threatinfo/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O19 - User stylesheet: C:\WINDOWS\windows.dat
O21 - SSODL: SysTray.Ev - {F5B1D0BE-5f02-4255-96DB-388DFA244900} - (no file)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
Si tu parle de ceci:
http://forums.spywareinfo.com/lofiversion/index.php/t46480.html
Apparement la suppression de c:\windows\system32\drivers\systemsvr.sys et de C:\windows.dat a resolu son probleme.
De plus le fichier systemsvr.sys et inconnu sur google.
ca vaut le coup de tenter, non ?
en mode sans echecs
Lance hijackthis et Fixe:
cocher la case au début des lignes suivantes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O19 - User stylesheet: C:\WINDOWS\windows.dat
O21 - SSODL: SysTray.Ev - {F5B1D0BE-5f02-4255-96DB-388DFA244900} - (no file)
valider avec [fix checked]
supprime:
c:\windows\system32\drivers\systemsvr.sys <- tu peut toujours en faire une copie avant.
C:\WINDOWS\windows.dat
redemarre et reposte un log
a+
http://forums.spywareinfo.com/lofiversion/index.php/t46480.html
Apparement la suppression de c:\windows\system32\drivers\systemsvr.sys et de C:\windows.dat a resolu son probleme.
De plus le fichier systemsvr.sys et inconnu sur google.
ca vaut le coup de tenter, non ?
en mode sans echecs
Lance hijackthis et Fixe:
cocher la case au début des lignes suivantes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O19 - User stylesheet: C:\WINDOWS\windows.dat
O21 - SSODL: SysTray.Ev - {F5B1D0BE-5f02-4255-96DB-388DFA244900} - (no file)
valider avec [fix checked]
supprime:
c:\windows\system32\drivers\systemsvr.sys <- tu peut toujours en faire une copie avant.
C:\WINDOWS\windows.dat
redemarre et reposte un log
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Systemsvr.sys semble incopiable (utilisé par une autre ressource). Le problème est qu'il a été créé en 2001. dans le fil de spyware info, je vois mal comment il en arrivé à la conclusion qu'il faut éliminer ce fichier. Si tu as winxp, peux-tu me dire s'il apparait dans ton système. Pour vérifier, c'est un fichier masqué, il faut donc aller d'abord dans poste de travai/outil/ affichage des dossiers et décocher les deux cases qui empèchent d'afficher les dossiers système.
En fait, j'ai un peu peur de faire la grosse boulette irréversible.
Merci
En fait, j'ai un peu peur de faire la grosse boulette irréversible.
Merci
Si on lis bien le post, le "helper" lui fait supprimer le fichier apres lui avoir demandé de le lui envoyer pour analyse.
J'ai xp et je n'ai pas ce fichier sur mon pc, meme apres avoir rendu visible les fichiers cachés et systeme.
Je crois que si c'était un fichier systeme, on aurait plus de renseignements sur google, et apparement il est inconnu.
tu peux toujours creer un point de restauration systeme, et tenter de le supprimer en suivant la manip du post 4
a+
J'ai xp et je n'ai pas ce fichier sur mon pc, meme apres avoir rendu visible les fichiers cachés et systeme.
Je crois que si c'était un fichier systeme, on aurait plus de renseignements sur google, et apparement il est inconnu.
tu peux toujours creer un point de restauration systeme, et tenter de le supprimer en suivant la manip du post 4
a+
çà marche, le problème est résolu.
merci à toi moe.
c'était donc bien à partir de systemsvr.sys que windows.dat se recréait. Je me demande comment le mec de sypware info a fait pour trouver que c'était systemsvr.sys qui posait problème puisque l'explorateur de windows ne l'indiquait pas comme fichier créé le jour de l'infection (alors qu'il a nécessairement été créé ce jour là).
en tous cas, ce martfinder est une saloperie. En cliquant sur systemsvr.sys pour l'ouvrir, je me suis retrouvé avec un trojan scvhost.exe dans c:\windows (alors que le vrai scvhost est dans system 32). Celui-là est facile à virer donc pas de problème.Qui plus est, windows.dat avait désactivé une partie de mes protections spybot SD et spyblaster.
Enfin tout est réglé.
Merci pour ton aide et bravo pour ce forum que je consulte souvent et où des gens compétents interviennent pour aider ceux qui le sont moins.
merci à toi moe.
c'était donc bien à partir de systemsvr.sys que windows.dat se recréait. Je me demande comment le mec de sypware info a fait pour trouver que c'était systemsvr.sys qui posait problème puisque l'explorateur de windows ne l'indiquait pas comme fichier créé le jour de l'infection (alors qu'il a nécessairement été créé ce jour là).
en tous cas, ce martfinder est une saloperie. En cliquant sur systemsvr.sys pour l'ouvrir, je me suis retrouvé avec un trojan scvhost.exe dans c:\windows (alors que le vrai scvhost est dans system 32). Celui-là est facile à virer donc pas de problème.Qui plus est, windows.dat avait désactivé une partie de mes protections spybot SD et spyblaster.
Enfin tout est réglé.
Merci pour ton aide et bravo pour ce forum que je consulte souvent et où des gens compétents interviennent pour aider ceux qui le sont moins.
vraiment content que tu ai pu t'en debarrasser.
Il devait surement s'agire de CWS.Smartkiller, variante de coolwebsearch, la seule il me semble pouvant desactiver spybot et autres.
http://assiste.free.fr/p/pages_diverses/la_manip.php#Etap_01_cws.smartkiller
happy end lol
a++ et bon surf
Il devait surement s'agire de CWS.Smartkiller, variante de coolwebsearch, la seule il me semble pouvant desactiver spybot et autres.
http://assiste.free.fr/p/pages_diverses/la_manip.php#Etap_01_cws.smartkiller
happy end lol
a++ et bon surf
