Réparer les dégats de trojan.win32.vb.gq

Ils ont besoin de votre aide

05:49 EBP GESTION COMMERCIALE V.11 (Messagerie/Chat)
05:38 bluetooth ps3 (Jeux vidéos)
05:14 Envoi message en CCI (Messagerie/Chat)
04:58 transfert photos de mac a carte SD (MacOS)
04:44 artmoney et til compatble avec ogame (Logiciels/Pilotes)
04:12 flux webcam avec c# (Messagerie/Chat)
03:53 VirusKeeper 2008 (Virus/Sécurité)
03:39 flash chat sur mon site web (Webmastering)
03:36 conflit adresse ip et router linksys... (Réseaux)
03:25 program mp4 (Logiciels/Pilotes)

Actualité

Les règles à respecter

	Réserver un accueil cordial aux nouveaux utilisateurs.
	Poster son message dans le thème le plus approprié.
	Respecter la législation en vigueur.
	Faire usage de formule de politesse et échanger avec courtoisie.
	Ne pas poster de message à vocation commerciale.
	Rédiger les messages dans un langage clair sans abréviations, style télégraphique ou mode SMS
	Le cas échéant, expliquer de manière pédagogique les règles du forum

Lire le texte complet de la charte

Avis de la communauté

04:07 Canon Digital IXUS 40 Silver (Judex)
15/05 CANON Canon Powershot A 570is... (sabochon)
15/05 Nvidia GeForce 8800 GTX 768 Mo DDR3 (dofrebzh22)
15/05 Apple iPod Touch 8 Go Black (af003)
15/05 Mio C230 (nainconnu)
15/05 Microsoft Windows Vista Ultimate (Homerjaysimpson)
15/05 Sony Vaio VGN-FZ21M Intel Core 2 Duo (marcouninet)
15/05 Microsoft Windows Vista Ultimate (JayFabouille)
15/05 Heroes of Might and Magic 3 : Complete (Shannow)
15/05 Minolta Dynax 60 + 28-100mm (mionmion)

Autres avis

Avis / Logiciels

Autres avis

Plateformes d'assistance

	Windows
	Linux/Unix
	MacOS
	Matériel/Hardware
	Logiciels/Pilotes
	Bureautique

	Jeux vidéos
	Audio numérique
	Infographie/Photo
	Vidéo numérique
	Gravure
	Téléphonie/PDA/GPS

	Programmation
	Webmastering
	Réseaux
	Internet
	Messagerie/Chat
	Virus/Sécurité

Discussions & Opinions des Communautés

	Actualités
	Etudes/Formation
	Droit/Libertés

	Cinéma/Télé
	Musique/Radio
	Loisirs/Divertissement

	Suggestions
	Café des membres

Messages sans réponse Statistiques Posez votre question

Réparer les dégats de trojan.win32.vb.gq
par

Guille

Statut : Non résolu
mercredi 6 juillet 2005 à 20:13:03

Salut à tous,
J'ai besoin de votre aide!

Ma configuration : win xp où j'ai déjà essayé de faire la restauration, mais seulement le seul point de restauration que je retrouve est celui d'aujourd'hui

Mon Pb : Kaspersky antivirus a détecté et éliminé le virus qu'il nomme trojan.win32.vb.gq de ma machine mais seulement, il n'a pas réparé les dégats causé par ce virus. maintenant impossible d'ouvrir mes fichiers m'affichent comme contenu :

"Virus MlourdesHReloaded II ha atakdo esta computadora"
"Virus 100% Méxicano, no es muy peligroso que digamos"
"Pero tu has sido el rival más débil ¡Adios!"
"Saludos a Ana Paty de Sinaloa y a Gedzac Labs"
"Espero y se hallan pasado una feliz Navidad y un próspero año nuevo"
"Feliz 2004 para todos"
"Para mayor información enviar un e-mail a tips@esmas.com"
"donde hablamos de computación en tu idioma"
""
"*-Dime solo esta vez, que has pensado... solo esta vez -*"


j'ai également la procédure d'élimination manuelle que j'ai trouvé :

"
Details:

Installation and Autostart 

Upon execution, the malware drops and opens the host document file attached to its body in the current directory. This document file will inherit the file name of the executable file but with a .DOC extension. 

The malware then drops its virus code as LSASS.EXE in the Windows directory. 

It creates the following registry entry so that it executes at every system startup: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Winlogon = "%Windows%\Lsass.exe" 

(Note: %Windows% directory is usually C:\WINNT in Windows NT and 2000 and C:\WINDOWS in Windows 95, 98, ME and XP. 

File Infection 

This virus infects MS Word documents (.DOC) by inserting its malicious code of 49,152 Bytes at the beginning of the host file. It may also infect in the floppy drives. 

After infection, this virus renames the extension from DOC into EXE. 

Once the infected file is executed, the virus extracts the host document file into the current directory and renames the extension back to DOC. The virus then opens the .DOC file and drops a copy of itself in the Windows directory. 

Payload 

After few hours on its residency, this malware attempts to overwrite all files in the local drives including floppy drives with the following text: 

"Virus MlourdesHReloaded II ha atakdo esta computadora"
"Virus 100% Méxicano, no es muy peligroso que digamos"
"Pero tu has sido el rival más débil ¡Adios!"
"Saludos a Ana Paty de Sinaloa y a Gedzac Labs"
"Espero y se hallan pasado una feliz Navidad y un próspero año nuevo"
"Feliz 2004 para todos"
"Para mayor información enviar un e-mail a tips@esmas.com"
"donde hablamos de computación en tu idioma"
""
"*-Dime solo esta vez, que has pensado... solo esta vez -*"


The malware may also create this file in the root directory of drive C: 

MLHR_Corporation_GeDzAc.htm
The said file contains strings written in Spanish. 

Other Details 

The malware also drops the file GeDzaC.mlh which appears to be a counter for the malware’s routines.

 "

mais seulement je n'ai trouvé et supprimé que l'entrée de la base de régistre correspondante

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Winlogon = "%Windows%\Lsass.exe"

et le fichier :

GeDzaC.mlh

je n'ai pas trouvé le fichier :

MLHR_Corporation_GeDzAc.htm

et je n'arrive donc toujours pas à ouvrir mes fichiers, donc si quelqu'un veut bien m'aider je lui serai vraiment reconnaissant,

Merci à tous

Répondre à Guille Signaler ce message aux modérateurs Aller au dernier message

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

Par

jean38, le mercredi 6 juillet 2005 à 20:47:00

salut

telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

aide en image:(Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

A+

Jean

Répondre à jean38

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

Par

Guille, le jeudi 7 juillet 2005 à 09:20:28

Bonjour,
Merci de ton assistance, voici le logfile que j'ai obtenu

Logfile of HijackThis v1.99.1
Scan saved at 08:19:25, on 07/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MusicMatch\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=040C&s=search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.braouz.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=040C&s=search
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&s=search&query=%s&i=enu
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.220.21.11:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{162260C2-1147-425C-A853-BE3282C90EF6}: NameServer = 193.220.21.11,193.219.193.135
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

(si en plus tu peux me donner un coup de main pour éliminer norton de ma machine parce que lui aussi je n'arrive pas à partir d'ajouter supprimer un programme)

Merci beaucoup pour ton assistance

Répondre à Guille

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

Par

jean38, le jeudi 7 juillet 2005 à 10:28:20

salut,

je dois partir et j'avoue ne pas avoir lu ton post en entier, vu ta m... car çà en est une vraie et nocive, tu trouveras de nombreux post sur le sujet en allant:
http://www.commentcamarche.net/forum/affich-725758-Virus-MlourdesHReloaded-II-ha-ata#61

deole pour toit mais je crois peu d'espoir.

a+

jean

Répondre à jean38

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

Par

Small Guille, le vendredi 8 juillet 2005 à 09:31:39

Bonjour,
Je suis toujours à la recherche de ma solution;
j'ai examiné le log de ma machine que j'ai posté et je trouve ces lignes suspectes :

O4 - Global Startup: InterVideo WinCinema Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

que va t'il se passer si je les supprime? en fait j'ai comparé aussi ce log au log d'une autre machine qui elle n'a aucune entrée pour microsoft office qui est bien installé.

Je vous rappelle que c'est ma première expérience sur le hijack et j'essaie de sauver mes données alors svp dites moi si c'est dangereux de le faire ou non.

Merci pour votre aide

Répondre à Small Guille

Discussions pertinentes trouvées dans le forum

21/12 19h58	Trojan.Win32.VB.aqt	Virus/Sécurité	10/04 15h56	4
12/06 16h10	[TROJAN] Infecté par trojanSpy win32 VBStat.E	Virus/Sécurité	28/06 19h34	38
30/05 22h10	[Infecté] TrojanSpy:Win32/VBStat.E	Virus/Sécurité	04/06 10h21	8
09/05 15h49	trojan win32:vbstat-c	Virus/Sécurité	09/05 15h54	1

Plus de discussions sur « Réparer les dégats de trojan.win32.vb.gq » Discussion en cours Discussion fermée Problème résolu

Titre du message :
Votre pseudo:
Votre email :
Message:


Options:	Recevoir les réponses par mail.
	Aide