Virus Rbot dans System Volume informationRésolu/Fermé

Question

Hello,  ce virus infecte des fichiers A00*.exe qui sont dans le répertoire C:System Volume Information\_restore que je n'arrive pas à voir via explorer ou via le dos.  il infecte aussi un fichier asa.dbx situé dans c:\windows\security	emplates\asa\ mais ce répertoire \asa reste invisible  enfin, il est aussi dans un fichier sman.dbx situé dans le même répertoire.  comment faire pour les erradiquer ??  Merci bcp

Utilisateur anonyme · Answer

Salutdesactives ta restauration systeme.......redemarres et refais un scan....Quant a celui la>>c:\windows\security	emplates\asa\essaies >> panneau de config/option de dossiers/affichage/coches afficher dossiers cachés/decoches masquer fichiers protegés/valides et retournes le chercher dans son repertoire.....puis supprimes le (et s'il le faut en mode sans eche)c.....There's a thin line between Love and Hate....

tsippora · Answer

Mon cher ami !!tu viens encore une fois à ma rescousse. Là je suis en train de fixer le deuxième PC !!...Il est déjà en mode ss échec avec les options d'affichage ok.mais même là, ces deux répertoires restent cachés !! Et sophos ne me dit rien.Pour le 1er, en effet, j'espère que la non-restuaration système l'aura détruit car si j'ai bien saisi, le virus est dans un fichier qui serait utile en cas de restauration. je le lance asap.en revanche pour l'autre ???j'ai oublié de te dire : j'ai aussi le virus Poebot.a. Quel sort lui faire ??

tsippora · Answer

Mon cher ami !!tu viens encore une fois à ma rescousse. Là je suis en train de fixer le deuxième PC !!...Il est déjà en mode ss échec avec les options d'affichage ok.mais même là, ces deux répertoires restent cachés !! Et sophos ne me dit rien.Pour le 1er, en effet, j'espère que la non-restuaration système l'aura détruit car si j'ai bien saisi, le virus est dans un fichier qui serait utile en cas de restauration. je le lance asap.en revanche pour l'autre ???j'ai oublié de te dire : j'ai aussi le virus Poebot.a. Quel sort lui faire ??

Utilisateur anonyme · Answer

Quel antivirus utilises tu??Bon je te propose pour tous les postes de desactiver l'Anti virus que tu utilises(provisoirement),de desactiver les restau sur XP,de telecharger Norton 2005 et sa derniere mise a j et de l'installer sur chaque poste puis de des scanner en mode sans echec autant de fois qu'il le faut......tu as visiblement un pb de securité......>>mets a jour tes version de windows(si pas deja fait) apres ca et equipes toi d'un pare feu.....ne te decourage pas....ca fait un peu de gymnastique mais ca devrait marcher.....http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/21562.htmlhttp://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/78.htmlThere's a thin line between Love and Hate....

Utilisateur anonyme · Answer

Si la Mise a J ne s'effectue pas alors passe par la http://www.symantec.com/avcenter/download/pages/US-N95.html (dans ton cas tu n'as besoin que des bases de signatures virales) sinon passe par live update (plus long) .... There's a thin line between Love and Hate....

tsippora · Answer

hello Wael#,ben, j'utilise le célèbre escan que tu m'as fait découvrir !! C'est le seul qui détecte les virus (j'ai viruscan, antivir, stinger, a-squared, etc. etc.)le hic avec escan, c'est que la version gratuite ne corrige pas !! Donc je cherche ensuite sur sophos ou sur les forums comment les erradiquer.je procède toujours en mode sans echec en ayant supprimé les fichiers temps, les cookies et les fichiers internet temporaires et en vidant la corbeille. Je desactive la restauration pour les XP et affiche les fichiers cachés et les extensions. les OS sont vraiment à jour. Une fois tout ça fait, je lance mwav.Pour le moment, seul mon PC est totalement clean. Maintenant je travaille sur le second PC qui fonctionne sous XP.Tant qu'ils ne seront pas clean, je ne les connecte pas sur le réseau local...le pb de ce pc, c'est que les fichiers sont dans des répertoires difficiles d'accès. Bon je vais essayer Norton. A tout à l'heure

tsippora · Answer

me revoilà après avoir passé norton antivirus version 11.0.2.4 (j'ai réussi à faire la mise à jour des définitions).Il a trouvé AdManCtlX.dll         Adware.WinTaskAd                 non suppriméà 3 reprises...sinon, il a réussi à débarrasser le PC de asa.dbx (W32.Spybot.worm) 82.251.100 [1].gif (W32.Spybot.worm) (Mwav ne l'avait pas trouvé !)j'ai cherché un pgm du nom de WinTaskAd.ex : pas trouvé (ni dans Windows:system32... ni dans le registrecomment se débarrasser de Adware ???merci pour ton aide

tsippora · Answer

me revoilà après avoir passé norton antivirus version 11.0.2.4 (j'ai réussi à faire la mise à jour des définitions).Il a trouvé AdManCtlX.dll         Adware.WinTaskAd                 non suppriméà 3 reprises...sinon, il a réussi à débarrasser le PC de asa.dbx (W32.Spybot.worm) 82.251.100 [1].gif (W32.Spybot.worm) (Mwav ne l'avait pas trouvé !)j'ai cherché un pgm du nom de WinTaskAd.ex : pas trouvé (ni dans Windows:system32... ni dans le registrecomment se débarrasser de Adware ???merci pour ton aide

Utilisateur anonyme · Answer

Salut essaies ceci HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Windows TaskAd<> "Windows TaskAd"=[path to Adware.WinTaskAd] Bon si je comprend bien seule une machine reste infectée?? Si ca marche pas rehijack et colles un nouveau rapport....... There's a thin line between Love and Hate....

tsippora · Answer

Hello,1. pas de TaskAd non plus dans le registre ni dans les repertoires.2. Voici le log highkackthis :Logfile of HijackThis v1.99.0Scan saved at 10:48:12, on 19/01/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\Explorer.EXEC:\DOCUME~1\Simon\LOCALS~1\Temp\mwavscan.comC:\DOCUME~1\Simon\LOCALS~1\Temp\kavss.exeC:\WINDOWS\system32\NOTEPAD.EXEC:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exeC:\Documents and Settings\Simon\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 198.162.0.1R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [Rpcx Tutorial File] rpcxtf.exeO4 - HKLM\..\Run: [Windows media service] crsss.exeO4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"O4 - HKLM\..\Run: [Microsoft Diagnostic] msdiag32.exeO4 - HKLM\..\Run: [Network Host Service] vksvxfj32.exeO4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /minO4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimizeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\RunServices: [Windows media service] crsss.exeO4 - HKLM\..\RunServices: [IMSaYaMU[[aUHU\WM]JQ^] C:\WINDOWS\system32	skmfmhtamqkqg.exeO4 - HKLM\..\RunServices: [Microsoft Diagnostic] msdiag32.exeO4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInitO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [Windows media service] crsss.exeO4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\ABIT\Common\Bin\WinCinemaMgr.exeO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105809417428O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXEO23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exeO23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: Norton AntiVirus Auto-Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeO23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exemerci

Utilisateur anonyme · Answer

toujours en mode sans echecfixer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 198.162.0.1<<SI INCONNU 	O4 - HKLM\..\Run: [Rpcx Tutorial File] rpcxtf.exeO4 - HKLM\..\Run: [Windows media service] crsss.exe 	O4 - HKLM\..\Run: [Network Host Service] vksvxfj32.exeO4 - HKLM\..\RunServices: [Windows media service] crsss.exeO4 - HKLM\..\RunServices: [IMSaYaMU[[aUHU\WM]JQ^] C:\WINDOWS\system32	skmfmhtamqkqg.exeO4 - HKCU\..\Run: [Windows media service] crsss.exeensuite taper le nom de chacun de ces fichiers dans l'onglet rechercher du menu demarrer et les supprimer  physiquement There's a thin line between Love and Hate....

Utilisateur anonyme · Answer

hello1) ctrl/alt/supp : arrête ces programmes dans le gestionnaire des tâches2) repasse sur le log hijack et cocheO4 - HKLM\..\Run: [Windows media service] crsss.exe (1) <--virushttp://www.liutilities.com/products/wintaskspro/processlibrary/crsss/O4 - HKLM\..\Run: [Microsoft Diagnostic] msdiag32.exe (1)<-- trojanhttp://startup.iamnotageek.com/srch-Microsoft%20Diagnostic.htmlO4 - HKLM\..\Run: [Network Host Service] vksvxfj32.exe O4 - HKLM\..\RunServices: [Windows media service] crsss.exe (2)O4 - HKLM\..\RunServices: [IMSaYaMU[[aUHU\WM]JQ^] C:\WINDOWS\system32	skmfmhtamqkqg.exe <--hum! plus long tu meurs.... O4 - HKLM\..\RunServices: [Microsoft Diagnostic] msdiag32.exe (2)O4 - HKCU\..\Run: [Windows media service] crsss.exe (3)O4 - HKLM\..\Run: [Rpcx Tutorial File] rpcxtf.exe <--késako?? Phoenix?mais tu as combien d'antivirus ???O4 - HKLM\..\Run: [AVGCtrl] AVPersonalO4 - HKLM\..\Run: [KAVPersonal50]O3 - Toolbar: Norton AntiVirus/O23 - Service: Norton AntiVirus Firewall *ferme TOUS les programmes*fixe les lignes trouvées dans l'hijack*ferme l'hijack*reboot ton ordi*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT) *Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

....eviter egalement tant que le pb n'est pas entierement resolu de mettre les pc en reseau ou tout au moins d'effectuer des transferts de fichiers.........There's a thin line between Love and Hate....

Utilisateur anonyme · Answer

oups! je t'avais point vu Wael : coucou ^_^*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

.....Ava bien toi ??ca fait trois jours qu'on essaies de se depetrer de ce pb......Ca use!!There's a thin line between Love and Hate....

tsippora · Answer

Hello dolly daggermercij'arrive pas à terminer le process crsss.exe dans le gestionnaire de taches. Comment le faire autrement ?merci bcp à toi et à wael#

tsippora · Answer

Hello dolly daggermercij'arrive pas à terminer le process crsss.exe dans le gestionnaire de taches. Comment le faire autrement ?merci bcp à toi et à wael#

Utilisateur anonyme · Answer

Est il present?? parce que dans la liste des process de hijack il n'y est pas....reste qu'a le fixer comme dit /rechercher le fichier et le supprimer definitivement ainsi que les autres mentionnés (post 11/12)......There's a thin line between Love and Hate....

Utilisateur anonyme · Answer

pourtant il tourne, il est en 04 Run (programmes actifs dès le démarrage)O4 - HKLM\..\Run: [Windows media service] <--ni sous ce nom?... crsss.exeregarde dans exécuter/tape : msconfig/valide OK et regarde dans l'onglet démarrage si il s'y trouve, décoche-leet pour TaskAd<-- c'est plutôt Windows TaskAd mais qui peut avoir d'autres exeS aléatoires comme : Windows SyncroAd /SyncroAd.exe etc... assûre-toi que ce soit sur le bon pc ou le bon répertoire genre E:/ au lieu de C:/ .....http://assiste.free.fr/p/pacman/pacman_w.php*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

tsippora · Answer

hello wael#je l'ai également recherché par la fonction Rechercher ; en vain.dans le msconfig, y'est pas non plus.Qd j'essaie de le supprimer dans le gestionnaire des taches, j'obtiens le msg "Ceci est un processus système critique. Le Gestionnaire ne peut pas le terminer."j'ai cherché SynchroAd : rien trouvé j'ai cherché *ad.exe : rien de suspectWael#, s'il te plait, je sais que ça use mais ne me lache pas, plizzz !! :-)je fixe les lignes sous highjackthis, et fais ça maintenant :*ferme TOUS les programmes *fixe les lignes trouvées dans l'hijack *ferme l'hijack *reboot ton ordi *nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille *effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)a+

tsippora · Answer

Wael#,le PC n'est pas sur le réseau.je transfère les fichiers de logs (notepad) via une clé USBj'ai mon portable (celui qu'est tout propre) qui est connecté au web et avec lequel je converse avec vous.je poursuis...

tsippora · Answer

Rej'ai également viré tous les fichiers temp, tmp, bck, old.puis j'ai relancé highjackthis. Voici le log Logfile of HijackThis v1.99.0Scan saved at 14:22:59, on 19/01/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Documents and Settings\Simon\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 198.162.0.1R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /minO4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimizeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInitO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\ABIT\Common\Bin\WinCinemaMgr.exeO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105809417428O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXEO23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exeO23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: Norton AntiVirus Auto-Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeO23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exeOn n'y trouve CRSSS.exe, mais cet exe est toujours dans le gestionnaire de taches et pas possible de le déloger...votre verdict ?

Utilisateur anonyme · Answer

je repose ma question du post <12> mais tu as combien d'antivirus ??? tu dois avoir des conflits méga-majeurs..... O4 - HKLM\..\Run: [AVGCtrl] AVPersonal O4 - HKLM\..\Run: [KAVPersonal50] O3 - Toolbar: Norton AntiVirus/O23 - Service: Norton AntiVirus Firewall On n'y trouve CRSSS.exe, mais cet exe est toujours dans le gestionnaire de taches et pas possible de le déloger... <-- pas tout compris (rien à dire vrai ^_^ ) pas crsss.exe dans ce log en tous cas, tu te mélanges les pinceaux avec tout tes ordis non? crsss.exe est présent sur l'autre hijack et tourne on le voit alors?? O4 - HKLM\..\Run: [Windows media service] crsss.exe - fait les fix en mode sans échec pour le log et l'ordi concerné bien sûr Pour recherche et supprimer un fichier 1) désactive ta restauration système Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs 2) affiche les dossiers cachés : Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers" Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>!! coche!! "Afficher les fichiers et dossiers cachés" Pour afficher les autres fichiers cachés>> !!décoche!! la case "Masquer les fichiers protégés du système d'exploitation" * 3) passe en mode sans échec : donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5 http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php 4) recherche et supprime (en déployant) C:-->\WINDOWS-->\-->SYSTEM32\<--devrait se trouver ici normalement si présent encore crsss.exe 5) redémarre en mode normal - vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout) 6) réactive ta restauration système *Devise : Je m'intéresse à l'avenir parceque c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

une petite précisionne pas confondre csrss - csrss.exe - Process Information (avec 2 s) fichier Crosoft légitime (Microsoft Client/Server Runtime Server Subsystem)et l'autre crsss.exe -->(avec 3 s)http://startup.iamnotageek.com/srch-csrsss.exe.html@+ *Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

tsippora · Answer

Dolly Dagger,1. j'ai effectivement plusieurs antivirus (ceux qu'en fait vous m'avez conseillé d'installer pour aller chercher/corriger des virus que les autres ne trouvaient pas). J'utilise exclusivement Mwav et Norton  (Wael# me l'a conseillé hier) et highjackthis. 2. je ne mélange pas du tout les pinceaux avec mes ordis.- le PC de mon fils est celui que je suis en train de nettoyer et j'utilise mon portable pour accéder aux forums. Et j'ai une clé USB pour copier les logs du PC de mon fils vers mon portable. Tous les logs que je poste en ce moment proviennent du PC vérolé.- Seul mon portable est aujourd'hui connecté au web. Les deux autres sont et restent en local tant qu'ils ne seront pas tout propres.3. Toutes les actions que je mène sur le PC vérolé sont passées en mode sans échec avec la restauration du système désactivée et les fichiers cachés et les extensions visibles.4. Pour CRSSS.exe, il ne se trouve effectivmeent pas dans le dernier log highjackthis, mais il est bien visible dans le gestionnaire des taches et je ne peux terminer le processus (cf le message d'erreur).Je vais suivre pas à pas la procédure que tu me donnes dans ton post 23, "Pour recherche et supprimer un fichier " et reviens te dire ce qu'il en est.merci pour ton aides

tsippora · Answer

hello,voilà ce qui manquait : !!décoche!! la case "Masquer les fichiers protégés du système d'exploitation" * tous les fichiers CRSSS, Lssrv, vksvxfj32, sman.dbx sont apparus et j'ai pu les supprimer.J'ai vidé ma corbeille et suis en train de passer un Mwav pour voir si tout est rentré dans l'ordre. Je passerais un Highjackthis tout de suite après et vous le reposterais.Dolly dagger, merci encore (un pas de géant vient d'être fait !!)à +

Utilisateur anonyme · Answer

lolll celui-là, !!décoche!! :  je sais plus comment le faire apparaître pour que personne ne l'oublie, je vais tenter la guirlande clignotante tout autour avec une musique de fanfare .....^_^ + ^_^*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

tsippora · Answer

oh oui s'il te plait des guirlandes de fleurs et le Printemps de Vivaldi !!bon, voilà mon dernier log. Je crois qu'il est propre. Qu'en dis tu ?Logfile of HijackThis v1.99.0Scan saved at 16:02:03, on 19/01/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Documents and Settings\Simon\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 198.162.0.1R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /minO4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimizeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInitO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\ABIT\Common\Bin\WinCinemaMgr.exeO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105809417428O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXEO23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exeO23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: Norton AntiVirus Auto-Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeO23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exealors alors docteur ???

Utilisateur anonyme · Answer

^_^c'est CLEAN enfin! bon surf (léger, léger, avec un Colt et des balles en argent pour les vampires comme dab..)on te dit pas à plus tard alors... bonne fin d'aprem tsippora:-)*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

.....Hourrah! youpi tralala!!!!.....tout est  OK a present.....There's a thin line between Love and Hate....

tsippora · Answer

Merci bcp !! je vais m'attaquer au 3è PC maintenant !! Mais avec tout ce que j'ai appris, j'espère pouvoir m'en sortir toute seule.une dernière question s'il vous plait : Je comptais mettre sur cette machine - zoneAlarm en firewall- AntiVir Guard en antivirus- et Crosoft Antispywarec'est OK ou vous avez une meilleure reco ?

Utilisateur anonyme · Answer

zoneAlarm en firewal>> correctAntiVir Guard en antivirus>> connais pas mais tu peux aussi essayer  Avast http://www.avast.com/i_kat_207.php?lang=ENG >>tres bonne reputationCrosoft Antispyware>>connais pas du tout mais je te recommande ca http://www.safer-networking.org/fr/download/index.html  Spybothttp://www.download.com/3000-2144-10045910.html  AdawareEffectuer des scan reguliers pour garder des machines saines.......j'espère pouvoir m'en sortir toute seule. .....j'etais loin de m'en douter.....   There's a thin line between Love and Hate....

tsippora · Answer

merci wael#ben oui, j'suis une fille !! merci je vais installer ta config sur nos machinesà Plus tard (pour le 3è PC)...

Utilisateur anonyme · Answer

.....Ca marche pour la 3!!par contre tu peux rajouter ca >>http://www.javacoolsoftware.com/spywareblaster.html    controle les actives X et l'install de pg malveillants, entre autres  ....There's a thin line between Love and Hate....

tsippora · Answer

ok docdonc au lancement, j'aurais - Zonealarm- avast- spywareblaster- spybot- ad awarela ceinture et les bretelles !!à+

Virus Rbot dans System Volume information

35 réponses

Discussions similaires

Newsletters