dedler K dans smrss.exe???Fermé

Question

bonsoir,
mon antivirus avast gratuit mis à jour a détecté le worm dedler k upx dans C:\WINDOWS\SYSTEM32\smrss.exe (et non smvss). Or il ne peut pas le supprimer ni le mettre en quarantaine (message: cannot process...)Donc j'ai beau chercher je ne trouve pas comment l'enlever, aucun résultat avec les scan en ligne et aucun patch trouvé. Et en plus dans la liste des processus il n'y ai pas (smrss ou smvss)Le seul qui se rapproche serait smss. Mais j'ai bien noté le nom donné par avast, c'était smrss. Donc pourriez-vous m'aider s'il vous plait?
Merci beaucoup d'avance
caro

caro · Answer

s'il vous plait, pouvez vous m'aider?merci d'avance!!!

caro · Answer

j'vous en supplie, je sais plus quoi faire, y'a rien qui marche...

caro · Answer

s'il vous plait, je viens de perdre ma barre des tâches et mon ordi ralenti de plus en plus. S'il vous plait...

caro · Answer

je viens de réessayer: je ne peux pas démarrer en mode sans échec!
et maintenant le virus bloque mon antivirus. Message: 'Unknow error. Application cannot loaded skin Function "usiGetSkin" failed'.
Comment je fais???
merci beaucoup beaucoup à celui ou celle qui m'aidera!!!

balltrap34 · Answer

salut
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.

--------------------
mes vrai passion la chasse et le balltrap

caro · Answer

wahou, c'est encore pire que ce que je pensais...bizarre il y est pas celui que avast avait détecté. Mais pendant le scan il a détecté des troyens et un worm, mais il les a enlevé je crois. Mais c'était pas ceux qui sont là dessous:

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\CARO\TFTP2804 - Win32/Dabber.worm.dam#2 -> Infected
C:\Documents and Settings\CARO\TFTP5520 - Win32/Dabber.worm.dam#2 -> Infected
C:\Documents and Settings\CARO\TFTP6840 - Win32/Dabber.worm.dam#2 -> Infected
C:\WINDOWS\system32\25973_upload.exe - Win32/Sasser.E.worm.dam#2 -> Infected
C:\WINDOWS\system32\TFTP404 - Backdoor:Win32/Rbot -> Infected
C:\WINDOWS\system32\winsys.dll - IRC/Generic* -> Suspicious

Scanned
============================
Objects: 76360
Directories: 4506
Archives: 8900
Size(Kb): -1592796
Infected files: 5

Found
============================
Viruses found: 3
Suspicious files: 1
Disinfected files: 0
Mail files: 576

Donc si je lis bien y'en a dans les fichiers temporaires, c'est ça? Je sais pas comment effacer, mais je sais que ça se fait. Par contre pour le reste...

merci pour l'aide, j'espère que vous réussirez à m'aider!
merci!!!

balltrap34 · Answer

salut ceux la apparament il ne sont plus actif
C:\Documents and Settings\CARO\TFTP2804 - Win32/Dabber.worm.dam#2 -> Infected
C:\Documents and Settings\CARO\TFTP5520 - Win32/Dabber.worm.dam#2 -> Infected
C:\Documents and Settings\CARO\TFTP6840 - Win32/Dabber.worm.dam#2 -> Infected
C:\WINDOWS\system32\25973_upload.exe - Win32/Sasser.E.worm.dam#2 -> Infected
telecharge ceci et applique le en mode sans echec et refait scan pour verif a la fin
Télécharge "TheKillBox" sur :
http://download.broadbandmedic.com/

Pose-le sur ton bureau. Lance-le.
Dans "Paste full path of file.." ->copie/colle:
C:\Documents and Settings\CARO\TFTP2804
C:\Documents and Settings\CARO\TFTP5520
C:\Documents and Settings\CARO\TFTP6840
C:\WINDOWS\system32\25973_upload.exe
C:\WINDOWS\system32\TFTP404
C:\WINDOWS\system32\winsys.dll

Décoche "Create backup.."

Clique "Kill File".

Redémarre.

A chaque fichier que tu ajoutes, tu cliques "Add File"

Quand ils sont tous en bas, tu cliques "Remove on reboot".

Tu redémarres.

--------------------
mes vrai passion la chasse et le balltrap

caro · Answer

cooucou!
merci de m'aider!
J'ai tout fait, sauf ça:
A chaque fichier que tu ajoutes, tu cliques "Add File"
Quand ils sont tous en bas, tu cliques "Remove on reboot".
Tu redémarres.

Je vois pas comment on fait avec the killbox. Sinon les trois premiers fichiers semblent ne plus exister, et les autres sont enlevés d'après elle.
Donc je fais un scan ravantivirus pour voir.
Merci et à plus tard!

caro · Answer

bon, ben je crois pas que j'ai fait ce qu'il fallait:

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\CARO\TFTP2804 - Win32/Dabber.worm.dam#2 -> Infected
C:\Documents and Settings\CARO\TFTP5520 - Win32/Dabber.worm.dam#2 -> Infected
C:\Documents and Settings\CARO\TFTP6840 - Win32/Dabber.worm.dam#2 -> Infected
C:\WINDOWS\system32\TFTP404 - Backdoor:Win32/Rbot -> Infected
C:\WINDOWS\system32\winsys.dll - IRC/Generic* -> Suspicious

Scanned
============================
Objects: 76667
Directories: 4509
Archives: 8903
Size(Kb): -1559405
Infected files: 4

Found
============================
Viruses found: 2
Suspicious files: 1
Disinfected files: 0
Mail files: 579

Vous en pensez quoi?
merci beaucoup!

balltrap34 · Answer

salutregarde si tous les fichiers avec un# ne sont pas dans le fichier quarantaine de l anti virus si oui tu les suppr--------------------mes vrai passion la chasse et le balltrap

caro · Answer

tout d'abord merci de continuer à m'aider!
ensuite j'ai beau essayer, j'ai toujours le message d'erreur décrit plus haut. J'ai recherché, il semble donc qu'il manque un skin, donc ça bloque l'affichage. Je n'ai pas réussi à réparer, peut être devrais-je le re-télécharger?
Donc à cause de cela je ne peut pas accéder à la quarantaine. Je vais voir si le re-téléchargement réussi, sinon mon antivirus marche puisqu'il m'alerte que j'ai des troyens,... mais qu'il ne peut rien faire!Mais j'ai réussi à faire l'update.
Donc je vais voir ça.
Merci encore et à plus tard!

caro · Answer

Bon, en fait j'ai trouvé une sorte de scan en ligne, mais c'est pas vraiment en ligne, bref on verra si ça marche. Sinon j'ai trouvé où télécharger les skins mais ça échoue. Donc je vois la fin du scan et puis si ça marche pas je re-téléchargerai avast en espérant que ça marche.
Voilà, à plus tard!

caro · Answer

Donc voici le résultat:

Memory scanning started...
No virus body found in memory.
Memory scanning finished (14,6s).
----------
Files scanning started...
C:\WINDOWS\Temp\ZLT0391b.TMP... file could not be scanned!
No virus body found.
Files scanning finished (80261 files, 0 infected, 2710,5s).
Drives scanned: C:
----------
C'est moins bien que ravantivirus je trouve...
Donc j'attend vos réponses, et pendant ce temps je vais voir pour re-télécharger avast.
A plus tard et merci!

balltrap34 · Answer

re
refait ca pour chaque fichier
Télécharge "TheKillBox" sur :
http://download.broadbandmedic.com/

Pose-le sur ton bureau. Lance-le.
Dans "Paste full path of file.." ->copie/colle:
C:\Documents and Settings\CARO\TFTP2804
C:\Documents and Settings\CARO\TFTP5520
C:\Documents and Settings\CARO\TFTP6840
C:\WINDOWS\system32\25973_upload.exe
C:\WINDOWS\system32\TFTP404
C:\WINDOWS\system32\winsys.dll

Décoche "Create backup.."

Clique "Kill File".

Redémarre.

ne met pas tous les fichiers en meme temps fait les un par un

la chasse et la balltrap ma vrai passion
voir site perso dans profil

caro · Answer

oui d'accord et merci je vais le refaire.
En attendant, le re-téléchargement de avast a marché, je l'ai lancé mais il n'a rien trouvé. Puis je me suis dis je vais refaire un scan ravantivirus pour voir si les trois premiers étaient dans la quarantaine de avast que j'ai désinstallé, mais là il semble qu'il y sont encore. Donc j'attend la fin, je refais le truc de là dessus, puis je viens faire un rapport.
Merci encore!

balltrap34 · Answer

a++la chasse et la balltrap ma vrai passionvoir site perso dans profil

caro · Answer

bon c'est fait, mais je pense pas que ça change grand chose:
les 4 premiers n'existent pas et le dernier ne peut pas être effacé. Donc là je sais pas quoi faire...T'es sûr qu'il dit vrai ravantivirus?

caro · Answer

bon, l'appel de la couette se fait sentir. Donc avant d'y aller, je précise que je viendrais voir demain si t'es passé pas là, sinon je dois partir jusqu'a mercredi (surement jusqu'au soir), donc ne pense pas que j'abandonne si je ne répond pas!...
bonne nuit et merci encore
a +

balltrap34 · Answer

utilise la killbox en mode sans echecla chasse et la balltrap ma vrai passionvoir site perso dans profil

caro · Answer

justement c'est ce que je fais!

caro · Answer

bon, j'ai regardé sur internet et certains virus augmentent les processus ou je sais pas trop, quelque chose comme ça. Donc je suis allé voir et j'avais cisvc qui était à 96! donc je l'ai tué, mais j'ai pas trouvé d'autres infos, donc je sais pas trop quoi faire...merci d'avance à quiconque m'aidera!

balltrap34 · Answer

rele fait d avoir arreter ce processus c est bien maintenant il faut trouver le fichier correspondant et le supprla chasse et le balltrap ma vrai passionvoir site perso dans profil

caro · Answer

désolé d'être ignorante... j'ai cherché et je ne sais absolument pas comment trouver le fameux fichier, après presque 4 heures de recherche!J'ai du redémarrer mon pc puisuqe je suis allé manger (logique), et je suis allé voir le processus est revenu mais il reste sage (entre 0 et 5). Donc je continue mes fouilles et j'espère que je vais trouver quelque chose!merci beaucoup et à plus tard!!!

balltrap34 · Answer

okia++la chasse et le balltrap ma vrai passionvoir site perso dans profil

caro · Answer

coucou!franchement je désespère, j'ai vidé tous les fichiers temporaires, j'ai même nettoyé tout ce que je pouvais (favoris, toutes les quarantaines trouvables,...) et ravantivirus me trouve encore la même chose!Est-ce que ce scan ne se moquerait-il pas de moi???merci d'avance!

balltrap34 · Answer

re refait le scan et met moi le rapport je voudrai le voirla chasse et le balltrap ma vrai passionvoir site perso dans profil

caro · Answer

Voilà, je l'ai refait, voici donc le même résultat...Scan started at 24/07/2004 20:12:07 Scanning memory...Scanning boot sectors...Scanning files...C:\Documents and Settings\CARO\TFTP2804 - Win32/Dabber.worm.dam#2 -> InfectedC:\Documents and Settings\CARO\TFTP5520 - Win32/Dabber.worm.dam#2 -> InfectedC:\Documents and Settings\CARO\TFTP6840 - Win32/Dabber.worm.dam#2 -> InfectedC:\WINDOWS\system32\TFTP404 - Backdoor:Win32/Rbot -> InfectedC:\WINDOWS\system32\winsys.dll - IRC/Generic* -> SuspiciousScanned============================	Objects: 83957	Directories: 7005	Archives: 8975	Size(Kb): -1026862	Infected files: 4Found============================	Viruses found: 2	Suspicious files: 1	Disinfected files: 0	Mail files: 656Par contre j'ai remarqué un truc: je n'ai pas autant de mails, même si on compte ceux recus, envoyés,...Bizarre, non?Merci et à plus tard!

Utilisateur anonyme · Answer

salut fait comme ceci redemarre en mode sans echec (redemarage + tapotte sans cesse sur f8 ou f5) ensuite desactive ta restaration (si ta le xp ) comme ceci  :clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu appliqueensuite tu affiche les fichier cacher comme ceci : clicker sur demarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Puis fais «Ok» pour valider les changements. Decocher masquer les extentions dont le type est connues ensuite tu va dans demarrer/rechercher et tape: TFTP2804TFTP5520TFTP6840TFTP404winsys.dll  tu le suprime et tu vide ta corebeille @+++++++++++++

caro · Answer

coucou!désolé j'ai eu des problemes pour me connecter ces derniers temps. J'ai réussi à supprimer les trois premiers fichiers, mais les autres sont introuvables. Je refais un scan ravantivirus demain et je posterai le résultat.Merci du coup de main!

caro · Answer

bon, si quelqu'un passe par là, il me reste encore deux fichiers à supprimer...Si quelqu'un a une idée, elle est la bienvenue!Scan started at 29/07/2004 17:47:05 Scanning memory...Scanning boot sectors...Scanning files...C:\WINDOWS\system32\TFTP404 - Backdoor:Win32/Rbot -> InfectedC:\WINDOWS\system32\winsys.dll - IRC/Generic* -> SuspiciousScanned============================	Objects: 85999	Directories: 7008	Archives: 8976	Size(Kb): -950914	Infected files: 4Found============================	Viruses found: 2	Suspicious files: 1	Disinfected files: 0	Mail files: 945A plus tard et merci!

Utilisateur anonyme · Answer

redemarre en mode sans echec (redemarage + tapotte sans cesse sur f8 ou f5) ensuite desactive ta restaration (si ta le xp ) comme ceci : clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique ensuite tu affiche les fichier cacher comme ceci : clicker sur demarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Puis fais «Ok» pour valider les changements. ensuite Télécharge "TheKillBox" sur :  http://download.broadbandmedic.com/    Pose-le sur ton bureau. Lance-le.  Dans "Paste full path of file.." ->copie/colle:   (le chemin du fichier) donc tu ecrit C:\WINDOWS\system32\TFTP404C:\WINDOWS\system32\winsys.dllDécoche "Create backup.."    Clique "Kill File".    Redémarre. @+++++++++++++

balltrap34 · Answer

salutattention ceci est une dll existante et n est que suspectmoi je ne la supprimerais pas pour l instantwinsys.dll la chasse et le balltrap ma vrai passionvoir site perso dans profil

Utilisateur anonyme · Answer

salut peu etre qu'ils sont dans le dossier  quarantaine de ton antivirus@+++

caro · Answer

Non, ça y est je les ai trouvé! Donc TFTP404 est enlevé,et j'ai trouvé winsys.dll, en fait il était tout en bas (pas rangé par ordre alphabétique), et c'est écrit 'fichier caché, extention de l'application', un truc comme ça. Mon av a rien trouvé de louche, donc je vais peut être le laisser tranquil...Par contre j'ai toujours le processus cisvc.exe qui carbure à fond, donc à chaque fois je le tue. Et j'ai parfois cidaemon.exe qui s'y met, et après recherches ils ont tous les deux relatifs au service d'indexation(?). Je dois toujours m'inquiéter ou pas?Merci!!!

Utilisateur anonyme · Answer

le cidaemon.exe et cisvc.exe  c des fichier windows. il s'agit du service d'indexation des fichiers. il se pourai qu'ils sois hijacker  . il faut tout simplement les arreter comme ceci "panneau de configuration" /" Outils d'administration "/. dans " services et applications "/  " Service d'Indexation "/ ensuite tu clike sur arreter @++++++++++++++

benj6 · Answer

et dans le processus ta pas ce nom?ta plus qu'a metre fin de processus et tu pouras supprier tankillemn!

Dedler K dans smrss.exe???

36 réponses

Discussions similaires

Newsletters