Posez votre question Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Statut : Non résolu

Virus win 32

jeannot57, le dimanche 21 août 2005 à 15:22:50

Je suis infecté par un virus Win32/Rootkit.Agent.AE Cheval de Troie qui infecte le fichier C:/Windows\System32\hpdriver.sys

L'antivirus NOD32 détecte ce virus mais ne peut le supprimer ou le nettoyer. J'ai essayé moi même de le supprimer mais à chaque fois il réapparait.

Que faire?

Je suis un nouvel utilisateur, je ne connais rien en informatique.

Quelqu'un pourrait-il m'aider?

Merci

Configuration: windows xp

Répondre à jeannot57 Signaler ce message aux modérateurs Aller au dernier message

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

regis59, le lundi 22 août 2005 à 01:25:14

Salut,
Telecharge ceci :

A2 Free (anti-trojans et worms)
http://www.emsisoft.net/fr/software/download/

Et scan ton pc avec !

Tiens moi au courant

A+

Répondre à regis59

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

Virginie, le lundi 14 avril 2008 à 21:35:04

Bonjour
J'ai vu que tu as su répondre pour un cheval de troie un peu similaire au mien donc je te sollicite.

J'ai été infecté par un rootkit : processus cachés malware: win32:DNS changer.UX. est ce que tu peux me conseiller quelques choses. merci par avance.

VIrginie

Répondre à Virginie

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

jeannot57, le lundi 22 août 2005 à 13:18:20

j'ai bien télécharger et fais un scan.
Dans le rapport, il est indiqué :
aucun malware trouvé

merci quand même d'avoir essayé de m'aider mais cela n'a pas abouti.

Y a peut être une autre solution?

Répondre à jeannot57

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

moe31, le lundi 22 août 2005 à 13:20:54

salut

commence par faire un scan ici:
http://webscanner.kaspersky.fr/
et poste le rapport ici

ensuite telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijack
et surtout pas dans un dossier temporaire (temp)
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
Si tu as du mal, regarde ceci:
http://pageperso.aol.fr/balltrap34/demohijack.htm

a+

Répondre à moe31

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

jeannot57, le lundi 22 août 2005 à 15:14:12

voici le résultat du scan kaprsky :

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, August 22, 2005 15:04:50
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 22/08/2005
Kaspersky Anti-Virus database records: 136487
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\WINDOWS\system32\

Scan Statistics:
Total number of scanned objects: 5256
Number of viruses found: 4
Number of infected objects: 39
Number of suspicious objects: 0
Duration of the scan process: 300 sec

Infected Object Name - Virus Name
C:\WINDOWS\system32\drivers\etc\hosts Infected: Trojan.Win32.Qhost
C:\WINDOWS\system32\hpdriver.V00sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V01sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V02sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V03sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V04sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V05sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V06sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V07sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V08sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V09sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V10sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V11sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V14sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V16sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V18sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V19sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V20sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V21sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V22sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V23sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V24sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V25sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V26sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V27sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V28sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.V32sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\hpdriver.Vsys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\i Infected: Trojan-Downloader.BAT.Ftp.ab
C:\WINDOWS\system32\o Infected: Trojan-Downloader.BAT.Ftp.ab
C:\WINDOWS\system32\setup_01828.exe Infected: Backdoor.Win32.SdBot.aad
C:\WINDOWS\system32\setup_01837.exe Infected: Backdoor.Win32.SdBot.aad
C:\WINDOWS\system32\setup_07086.exe Infected: Backdoor.Win32.SdBot.aad
C:\WINDOWS\system32\setup_37803.exe Infected: Backdoor.Win32.SdBot.aad
C:\WINDOWS\system32\setup_50772.exe Infected: Backdoor.Win32.SdBot.aad
C:\WINDOWS\system32\setup_71213.exe Infected: Backdoor.Win32.SdBot.aad
C:\WINDOWS\system32\setup_78267.exe Infected: Backdoor.Win32.SdBot.aad
C:\WINDOWS\system32\setup_81351.exe Infected: Backdoor.Win32.SdBot.aad
C:\WINDOWS\system32\setup_84852.exe Infected: Backdoor.Win32.SdBot.aad

Scan process completed.

et voila le contenu de hijacthis :

Logfile of HijackThis v1.99.1
Scan saved at 15:08:38, on 22/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\windows\msbb.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
C:\WINDOWS\ntfsprotect.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom Câble
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\windows\msbbhook.dll
O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\Downloaded Program Files\sponsoradulto.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Removecpl] removecpl.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [msbb] c:\windows\msbb.exe
O4 - HKLM\..\Run: [ufar] C:\WINDOWS\ufar.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d8a71c41b1417e6bc8076faef53b88227c2b7c1f1eda8bc15ef2ddf450c61f2b25b5b75615e0f8348ae2dc877d0b70fc9051e923601f7e3f0663710745773b53:391c802b39acc695ee676fd4c28c535f
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124554031743
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NTFSprotect (ntfsdiscman) - Unknown owner - C:\WINDOWS\ntfsprotect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

c'est plus grave que je pensais

Répondre à jeannot57

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

moe31, le lundi 22 août 2005 à 17:39:28

salut

Déconnecte toi d'internet:

Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:

Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
clic sur ok pour valider

Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

gras> Vide le cache de tous les navigateurs et supprime les cookies:

Pour Internet Explorer:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok

Pour Firefox:
menu 'Outils' > Options
icône 'Vie privée'
rubrique Cache, appuyer sur le bouton "Vider le cache"
rubrique Cookies appuyer sur le bouton "Effacer"
valide ok

Pour Mozilla
Edition > Préférences > Avancé > Cache
clic sur "Vider le cache"
et pour les cookies:
Outils > Gestionnaire de cookies > Gérer les cookies stockés
clic sur "Supprimer les cookies"
valider ok

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
NTFSprotect
Double clic dessus et clic sur [arreter] puis dans :
type de demarrage --> sélectionne désactivé.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite:

Demarrer > executer tape cmd
valide

dans la fenetre dos tape ou copie et colle ceci:

sc delete ntfsdiscman
valide

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\windows\msbbhook.dll
O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\Downloaded Program Files\sponsoradulto.dll (file missing)
O4 - HKLM\..\Run: [msbb] c:\windows\msbb.exe
O4 - HKLM\..\Run: [ufar] C:\WINDOWS\ufar.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d8a71c41b1417e6bc8076faef53b88227c2b7c1f1eda8bc15ef2ddf450c61f2b25b5b75615e0f8348ae2dc877d0b70fc9051e923601f7e3f0663710745773b53:391c802b39acc695ee676fd4c28c535f
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab

valider en cliquant sur [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Recherche et supprime:

Dans le cas ou tu utiliserais la fonction Rechercher:
Assure toi que dans:
Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
• Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
• Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !

Supprimer les fichiers en suivant le chemin des fichiers infectés, plutot que d'utiliser la fonction "Rechercher"

S'ils sont présents, supprime:

c:\windows\msbb.exe
C:\WINDOWS\ufar.exe
C:\WINDOWS\ntfsprotect.exe
C:\WINDOWS\system32\hpdriver.V00sys
C:\WINDOWS\system32\hpdriver.V01sys
C:\WINDOWS\system32\hpdriver.V02sys
C:\WINDOWS\system32\hpdriver.V03sys
C:\WINDOWS\system32\hpdriver.V04sys
C:\WINDOWS\system32\hpdriver.V05sys
C:\WINDOWS\system32\hpdriver.V06sys
C:\WINDOWS\system32\hpdriver.V07sys
C:\WINDOWS\system32\hpdriver.V08sys
C:\WINDOWS\system32\hpdriver.V09sys
C:\WINDOWS\system32\hpdriver.V10sys
C:\WINDOWS\system32\hpdriver.V11sys
C:\WINDOWS\system32\hpdriver.V14sys
C:\WINDOWS\system32\hpdriver.V16sys
C:\WINDOWS\system32\hpdriver.V18sys
C:\WINDOWS\system32\hpdriver.V19sys
C:\WINDOWS\system32\hpdriver.V20sys
C:\WINDOWS\system32\hpdriver.V21sys
C:\WINDOWS\system32\hpdriver.V22sys
C:\WINDOWS\system32\hpdriver.V23sys
C:\WINDOWS\system32\hpdriver.V24sys
C:\WINDOWS\system32\hpdriver.V25sys
C:\WINDOWS\system32\hpdriver.V26sys
C:\WINDOWS\system32\hpdriver.V27sys
C:\WINDOWS\system32\hpdriver.V28sys
C:\WINDOWS\system32\hpdriver.V32sys
C:\WINDOWS\system32\hpdriver.Vsys
C:\WINDOWS\system32\i
C:\WINDOWS\system32\o
C:\WINDOWS\system32\setup_01828.exe
C:\WINDOWS\system32\setup_01837.exe
C:\WINDOWS\system32\setup_07086.exe
C:\WINDOWS\system32\setup_37803.exe
C:\WINDOWS\system32\setup_50772.exe
C:\WINDOWS\system32\setup_71213.exe
C:\WINDOWS\system32\setup_78267.exe
C:\WINDOWS\system32\setup_81351.exe
C:\WINDOWS\system32\setup_84852.exe

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, tres important:

:: Supprimer les fichiers temporaires ::

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Temp
* C:\Windows\Temp
vider tout le contenu de ces dossiers.

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

relance hijackthis et clic sur "open the misc tools section"
clic sur delete a file on reboot
dans la fenetre qui s'ouvre et dans "nom du fichier"
copie et colle ceci:
C:\WINDOWS\system32\hpdriver.Vsys

Redemarre normalement et reposte un log hijack pour vérifier l'évolution

refais aussi un scan de controle chez kaspersky

a+

Répondre à moe31

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

jean38, le lundi 22 août 2005 à 17:47:52

salut Moe,

t'as jeté un oeil au post de Eric, je crois que çà y est pour nail.

Répondre à jean38

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

moe31, le lundi 22 août 2005 à 17:51:13

salut jean

beau boulot, je crois que nail, est ce que j'ai vu de pire à virer.

a+

Répondre à moe31

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

jean38, le lundi 22 août 2005 à 17:53:53

t'as raison, le pb c'est qu'à la fin d'une manip, tu sais même pas ce qui a eu réellement sa peau...

synthèse à prevoir...lol

A+

Jean

Répondre à jean38

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

jeannot57, le lundi 22 août 2005 à 22:53:33

après avoir fais toutes les manipulations voici le résultat :
ca a été dur car lors des scans avec kapersky, mon ordinateur s'est coupé plusieurs fois.

malgré ca, dans mon entourage on m'a donné un fichier qui se nomme : FxSasser.exe qui m'a permis de détruire le virus W32/Rootkit.Agent.ae cheval de Troie que NOD32 n'arrivait pas à nettoyer ou supprimer.

il y a encore 2 virus autres que ceux trouvés avant.

je remercie quand même ceux qui essaies de m'aider pour le temps qu'il me consacre.

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, August 22, 2005 22:41:53
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 22/08/2005
Kaspersky Anti-Virus database records: 136566
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\WINDOWS\

Scan Statistics:
Total number of scanned objects: 14250
Number of viruses found: 2
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 1491 sec

Infected Object Name - Virus Name
C:\WINDOWS\mcsecure.exe Infected: Backdoor.Win32.SdBot.aad
C:\WINDOWS\system32\drivers\etc\hosts Infected: Trojan.Win32.Qhost

Scan process completed.

Logfile of HijackThis v1.99.1
Scan saved at 22:43:19, on 22/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\a2\a2guard.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Services/resultsmaster/ResultsMasterHomeLeftPane.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom Câble
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Removecpl] removecpl.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {69FD62B1-0216-4C31-8D55-840ED86B7C8F} (HbInstObj) - http://installs.hotbar.com/installs/hotbar/programs/hotbar.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124554031743
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://frgoldenriviera.microgaming.com/frgoldenriviera/FlashAX.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Répondre à jeannot57

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

moe31, le mardi 23 août 2005 à 12:51:52

salut

supprime C:\WINDOWS\mcsecure.exe

et ouvre le fichier C:\WINDOWS\system32\drivers\etc\hosts
(rend visible les fichiers cachés avant), avec le bloc notes.
il ne dois contenir que

127.0.0.1 localhost
enregistre

redemarre le pc et refais un scan de controle

a+

Répondre à moe31

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

jeannot57, le mardi 23 août 2005 à 13:50:25

c'est fait. A priori plus de virus...
Merci à tous ceux qui aident les autres.

Répondre à jeannot57

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

baboune45, le lundi 26 mai 2008 à 11:58:57

bonjour a tous win 32

ca me bloque tout + et bidefender et ca rame

Répondre à baboune45

Posez votre question Répondre

Résultats pour virus win 32

Virus Win 32: Agent - PSG (Résolu) Bonjour, Mon PC est infesté par le virus Win 32: Agent - PSG, des fichiers ont été créés dans le répertoire c:\windows\fonts à hauteur de 32 giga. Je ne peux pas afficher ces fichiers avec explorer pour les supprimer. Quelqu'un peut-il me donner... www.commentcamarche.net/forum/affich-8350601-virus-win-32-agent-psg

Virus win 32 virut C (Résolu) Bonjour, A l'aide, je me bats depuis quelques temps avec les virus win 32, mais j'en ai encore un nouveau le win32 virut C, j'ai tout reformater, mais a peine j'ai branché la prise internet quej'ai été infecté, je ne suis pas... www.commentcamarche.net/forum/affich-7288600-virus-win-32-virut-c

Virus win 32 adan 161 (Résolu) bonjour, j'ai avast comme anti-virus mais à chaque fois il me dit de mettre en quarantaine le virus win 32 adan161, ce que je fais mais impossible de m'en débarasser.Comment faire et merci à tous de votre aide. www.commentcamarche.net/forum/affich-2099478-virus-win-32-adan-161

1 2 3 Suivant

Résultats pour virus win 32

Virus win 32 (Résolu)Bonjour, commen s edebarasser du virus win 32 sue xp www.commentcamarche.net/forum/affich-8564484-virus-win-32

Virus win 32:delf-hti trj (Résolu)Bonjour, a tous ! petit problemes de virus [ win 32:delf-hti trj] impossible de l eradiquer besoin d aide merci d avance !!!!! voici le rapport hijack this !!! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:34:41, on 22/01/2008 Platform:... www.commentcamarche.net/forum/affich-4744727-virus-win-32-delf-hti-trj

Virus win 32 small jmh comment le supprimer? (Résolu)bonjour mon ordi a ete infecté par le virus win 32 small jmh mon anti virus (avast) a detecté des fichiers infectes je les ai supprimé mais a chaque fois le virus revient..... quelqu'un pourrait-il me venir en aide svp???? merci d'avance www.commentcamarche.net/forum/affich-5435747-virus-win-32-small-jmh-comment-le-supprimer

1 2 3 Suivant