Un virus pourrit ma machine... J'arrive pas à le supprimer :-/

Recherche :

Mot : Pseudo : Filtrer
Page : 1 2 Page Suivante Page Précédente Bas de page
Auteur	Sujet : Un virus pourrit ma machine... J'arrive pas à le supprimer :-/

cocorezo

Baaaaaaaaaaahhhh

Y'a un v i r u s que j'arrive pas à identifier qui me casse les c....
Les sympthomes :

- Mon firewall norton se lance pas (ni manuellement)
- Mon watchdog antivirus Norton se lance pas (ni manuellement)
- Quand j'essaye de désinstaller un produit norton, j'ai X fenêtres qui me demandent de fermer l'application
- J'arrive pas à ouvrir la base de registre.
- Dès que j'ai une pag internet avec le mot antivirus qui revient trop, celle-ci se ferme automatiquement
- J'arrive pas à lancer Mozilla ou tout autre Browser qu'IE
- Windows update m'envoie vers incredifind...

Bref, je suis un peu bloqué, là... Un formatage s'impose ? :??:

Message édité par cocorezo le 14-10-2004 à 09:52:55

Publicité

okz

°ọ'

Télécharge Stinger

Et si tu peux fais un scan en ligne

Nota: je te préconise Panda et rav.ro

---------------
La chenille ne porte pas de lunettes quand elle boit l'eau.

sanpellegrino

Ca a l'air violent ce truc

Télécharge Ultimate Boot CD, boote dessus et scanne tout ton DD avec les AV qu'il propose.

---------------
Got spyware ? | HFR HijackThis Tutorial

cocorezo

Baaaaaaaaaaahhhh

bon, j'arrivais même plus à lire cette page hier soir, à cause du mot "virus" dedans :cry:
J'ai réussi à l'éditer sous notepad pour lire vos réponses. :pt1cable:

Le problème, c'est que dès que je lance un des liens, ça me ferme les fenêtre
Franchement, je suis sur le point de tout formater, ça me gave ! :fou:

Message édité par cocorezo le 14-10-2004 à 09:55:44

mahieu

S+Ko

http://download.nai.com/products/m [...] tinger.exe
lien direct pour stinger

http://wired.s6n.com/files/ubcd/ubcd24.exe
ubcd

bon courage

FoX'x

A quoi ca sert?

sanpellegrino a écrit :

Ca a l'air violent ce truc

Télécharge Ultimate Boot CD, boote dessus et scanne tout ton DD avec les AV qu'il propose.

Ultimate boot cd propose des scan en mode Dos (a moins que sur les dernières versions....) inutile si la machine est en NTFS sous Win XP ou 2000.

En revanche un utilitaire antivirus de type Trend Micro ou Bit Defender peut peut-être faire l'affaire.
Perso, j'utilise Trend :
L'utilitaire de scan :
http://fr.trendmicro-europe.com/fi [...] sclean.com
Et ses defs qui vont avec :
http://fr.trendmicro-europe.com/en [...] attern.php
(cliquer sur lptXXX.zip)

Après ca, un scan du système avec Spybot, Ad-Aware et CWShredder n'est pas superflue... Les liens :
Spybot : http://www.safer-networking.org/en/download/index.html
Ad-Aware : http://www.lavasoftusa.com/ (rubrique download)
CWShredder : http://www.softpedia.com/public/ca [...] -150.shtml

Voila

---------------
@à_è-' kjzer ù*$¤$^ù=@#`^~#`@\`~#[@!!!

mahieu

S+Ko

>FoX'x: mets plutôt les liens directs car il semble que son PC ait du mal à supporter la vue de mots tels qu'anti-virus et cie. ça lui ferme ses fenêtres de pudeur

FoX'x

A quoi ca sert?

mmmmh....
Ok
Scnner trend : http://fr.trendmicro-europe.com/fi [...] sclean.com
Defs: http://fr.trendmicro-europe.com/gl [...] lpt200.zip

SpyBot : http://users.skynet.be/fa936042/spybotsd13.exe
Ad-Aware : http://www.pcextreme.net/adaware/a [...] l-1.05.exe
CWShredder : http://download.softpedia.com/soft [...] redder.exe

Vala!

---------------
@à_è-' kjzer ù*$¤$^ù=@#`^~#`@\`~#[@!!!

FoX'x

A quoi ca sert?

Argh!
Liens pourris!

Je vais en chercher d'autres...

---------------
@à_è-' kjzer ù*$¤$^ù=@#`^~#`@\`~#[@!!!

efflamm

Tiens, une moulinette (à base de f-prot) à jour qui nécessite rien d'autre qu'une partition FAT32 accessible sous dos :
http://www.meta.rezoo.org/osecour (clic droit enregistrez sous)
(à renommer en exe une fois sous dos (rename osecour osecour.exe ou via un copy osecour osecour.exe)

edit: doigts en carton ce matin

Message édité par efflamm le 14-10-2004 à 10:42:27

Publicité

FoX'x

A quoi ca sert?

En revanche, si quelqu'un connait le nom de ce virus (celui qui ferme les fenêtre explorer a chaque mot "virus" ) je suis preneur

Quel browser Mozilla utilises-tu?

---------------
@à_è-' kjzer ù*$¤$^ù=@#`^~#`@\`~#[@!!!

cocorezo

Baaaaaaaaaaahhhh

merci à tous, j'essayerai ça ce soir quand je rentrerai chez moi. Je vais prendre mon PC entre 4 yeux, et ça va chier !

cocorezo

Baaaaaaaaaaahhhh

FoX'x a écrit :

En revanche, si quelqu'un connait le nom de ce virus (celui qui ferme les fenêtre explorer a chaque mot "virus" ) je suis preneur

Quel browser Mozilla utilises-tu?

la dernière version. Mais ça fait pareil avec firefox ou Opera. :cry:

cocorezo

Baaaaaaaaaaahhhh

Je suis toujours en pleine galère
Les liens que vous m'avez donné marchent bien, mais les différents programmes n'arrivent pas à trouver le virus :
- les progs genre spybot et adaware ne trouvent pas de virus (c as leur rôle)
- les antivirus sous DOS ne trouvent pas les partitions NTFS, donc sont impuissants

Et certains progs nécessitent de passer par une page Internet pour les télécharger, ce qui m'est impossible, car les fenêtres se ferment automatiquement. Bref, chui bloqué
Si je trouve pas de solution, je vais finir par formater....

whiteburner

make love not war !

FoX'x a écrit :

En revanche, si quelqu'un connait le nom de ce virus (celui qui ferme les fenêtre explorer a chaque mot "virus" ) je suis preneur

Quel browser Mozilla utilises-tu?

C le virus MSN XP Pro SP2 , ca non ?

:lol: :lol:

Nan sérieusement , des fois je me pose la question...mais si ca ferme meme IE6 alors ca doit pas etre ca...

WB.
[:theintruder]

---------------
"Never been much better than at 127.0.0.1"

sanpellegrino

whiteburner a écrit :

C le virus MSN XP Pro SP2 , ca non ?

En scannant avec Ultimate Boot CD il ne trouve rien ?

---------------
Got spyware ? | HFR HijackThis Tutorial

cocorezo

Baaaaaaaaaaahhhh

nan, parce que tous ce programmes ignorent les partitions NTFS ! Et franchement, je trouve ça nul

cocorezo

Baaaaaaaaaaahhhh

Cocorezo a écrit :

up ...

FoX'x

A quoi ca sert?

T'as éssayé le lien Trend?
En général ca marche pas trop mal...

---------------
@à_è-' kjzer ù*$¤$^ù=@#`^~#`@\`~#[@!!!

minipouss

un mini mini

tu as regardé le fichier "hosts" sur ton pc? peux-tu copier/coller ce qu'il y a dedans? au cas où tu aurais un problème pour joindre les différents sites des éditeurs d'antiv*r*s

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein

Totoche17

Ca ressemble à HackerDefender ton truc, une vraie saloperie. Ci dessous deux liens où on en parle et qui indiquent comment s'en débarrasser.

http://www.pc-tests.com/Forum/viewtopic.php?p=134528

http://www.thetechguide.com/forum/ [...] opic=10767

Sinon ci dessous Uppix un navigateur très simple qui n'est pas fermé par le virus.

http://uppix.fr-org.net/

cocorezo

Baaaaaaaaaaahhhh

ok, je réessaye tout ça ce soir. MErci à tous :jap:

cocorezo

Baaaaaaaaaaahhhh

bon, rien à faire, j'y suis pas arrivé. Ca merde toujours
Allez, ce soir je formate :fou:

audax

FoX'x a écrit :

En revanche, si quelqu'un connait le nom de ce virus (celui qui ferme les fenêtre explorer a chaque mot "virus" ) je suis preneur

est ce que le nom dans ta page fermée par le mot virus est il précédé d'un fichier dll dans l'adresse du navigateur??
genre; res://shdocbl.dll/HTTP_Blocked.htm
qui donne ceci qd tu ouvres une page;

et si quelqu'un à ce problème ou a connu ce problème, svp dites moi ce qu'il faut faire.
j'ai tout essayez, scanné mon pc avrec toute sirte de log, et rien à faire.

sanpellegrino

Poste ici un log HijackThis

---------------
Got spyware ? | HFR HijackThis Tutorial

audax

voilà, si je ne répond pas de suite, c'est que je travaille de l'après midi. à ce soir j'espère que vous me trouvez la solution.
Logfile of HijackThis v1.97.7
Scan saved at 11:49:19, on 18/10/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\PDesk\PDesk.exe
C:\WINNT\Gtwatch.exe
C:\WINNT\gtwatch.exe
C:\WINNT\System32\UMonit2k.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\WINNT\autoclk.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System\MSMSGSVC.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\WINNT\twain_32\L3U16\WATCH.exe
C:\WINNT\System32\wuauclt.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
D:\flash 32\Flash32.exe
C:\Program Files\Wanadoo\audax\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINNT\dpe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [] C:\WINNT\Gtwatch.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINNT\gtwatch.exe
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\System32\UMonit2k.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINNT\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Watch.lnk = C:\WINNT\twain_32\L3U16\WATCH.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Wanadoo (HKCU)
O13 - WWW Prefix:
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\oysgiqkn.exe
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 6415277778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6EF94C8-52BF-4FBD-BF5A-7369BBB70374}: NameServer = 80.10.246.1,80.10.246.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBAA0BC2-372B-467C-8660-8C2F4D3D8F8E}: NameServer = 80.10.246.1 80.10.246.132

sanpellegrino

Commence par passer au SP4. Ensuite supprime les entrées suivantes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINNT\dpe.dll
O13 - WWW Prefix:
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\oysgiqkn.exe
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

Ensuite redémarre et vois ce que ça donne. Si tu as encore des problèmes reposte un nouveau log.

---------------
Got spyware ? | HFR HijackThis Tutorial

audax

voilà, d'abord j'ai pas installé le pack 4.
je voulais d'abord voir si HijackThis fonctionne.
j'ai supprimé les fichiers comme tu l'a décris.
1) pour les supprimer il faut sélectionner le fichier puis appuyer sur "fix checked" c'est cela?
si c'est cela, ce qui est bizarre c'est que tout ces fichiers reviennent même à chaque démarrage de la machine sauf les fichiers;
O13 - WWW Prefix:
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\oysgiqkn.exe
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
qui eux sont bien parti.
2) j'ai télécharger sur ton post le patch en français, mais il ne fonctionne pas.

sanpellegrino

Oui, il faut cocher "Fix Checked" pour virer les lignes.

Commence par faire un scan antivirus sur www.secuser.com/antivirus

Ensuite redémarre en mode sans échec, kille pl.exe et oysgiqkn.exe. Supprime les lignes correspondantes et ensuite redémarre.

audax a écrit :

si c'est cela, ce qui est bizarre c'est que tout ces fichiers reviennent même à chaque démarrage de la machine sauf les fichiers;
O13 - WWW Prefix:
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\oysgiqkn.exe
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
qui eux sont bien parti.

Ensuite rescanne avec Hijack, poste ton log dans l'analyseur en ligne, vérifie s'il n'y a rien. Si tu as des doutes sur certains processus (toutes les tâches inconnues), cherche avec Google.

audax

je l'ai fait avec l'analyseur en ligne.
mais je crois savoir d'ou vient le problème.
si tui regardes l'image jointe dans le poste précédent bien plus haut j'ai un fichier dll qui se nomme "shdocbl.dll"
voilà, ce que je voudrais savoir si quelqu'un qui lit ce post à win 2000 pro et qui regarde si il a ce fichier dans dossier "winnt" et dans "système 32" .
ce qui m'étonnerait un peu, mais si ceux qui l'ont s'ils peuvent m'envoyez par email ce fichier pour que je le change,
Sinon me dire comment enlever ce fichier car qd je veut le supprimer dans "winnt" il s'enlève mais revient et qd je veut le supprimer dans le "système 32" il m'interdit de l'enlever car il me met un message "utiliser par le système" mais dans le processus je ne le voit pas.
je ne sais pas si vous me suivez là..

minipouss

un mini mini

bon ça n'existe pas (tu t'en doutais) sous mon win2k SP4

as-tu essayé de faire une recherche de ce fichier dans la base de registre car il y est peut-être de manière à ce que explorer.exe le charge au démarrage

tite_kikoo

on avais déjà parlé de ce problème ya un moment non? arrff j'me rapelle plus, mais j'crois qu'y a une page qui indique comment le supprimer (tout ce qu'il faut faire sans utiliser une seule fois les mots v i r u s ou anti-v i r u s)
faudrais faire une recherche mais j'ai pas trop de temps (j'ai plus que 5 minutes avant de lacher l'ordi)

bon courage en tout cas!

edit: ça va etre très difficile, la fonction recherche semble ne pas marcher today...

Message édité par tite_kikoo le 19-10-2004 à 21:49:57

audax

j'ai tout fait, en mode sans échec j'ai supprimer tout les fichiers etc.. fait un scan avec HijackThis, en mode sans échec. apperrement le fichier shdocbl.dll je ne le voit plus dans le "syteme 32" mais revient dans "winnt" , mais il y a le fichier "dpe.dll" que je n'arrive pas à supprimer. je le supprime, mais revient à chaque fois. car en page de démmarrage de ie5 j'ai ceci et j'ai beau modifié, mais j'ai ceci qui revient tout le temps;
http://%68%6F%6D%65%70%61%67%65%2E [...] 63/%68%70/

j'ai comme l'impression qu'il va falloir que je formate.
et tout ces fichiers sont venus aprsè que mon fils est allez sur un site de ...... et puis voilà.
à moin que vous avez une autre solution!! en tout merci

minipouss

un mini mini

récupère ça http://d21c.com/Tom41/get_active_services_179_161.zip

tu le dézippes et tu le lances, il va générer un fichier texte avec la liste de tous les services qui tournent sur ton pc comme ça on verra si un service foireux tourne en arrière plan pour relancer les merdes à chaque fois.

Copie/colle le résultat ici

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein

audax

voilà;
These are the Current Active Services:

EXPLORATEUR D'ORDINATEUR: Browser
C:\WINNT\System32\services.exe

CLIENT DHCP: Dhcp
C:\WINNT\System32\services.exe

GESTIONNAIRE DE DISQUE LOGIQUE: dmserver
C:\WINNT\System32\services.exe

CLIENT DNS: Dnscache
C:\WINNT\System32\services.exe

JOURNAL DES ÉVÉNEMENTS: Eventlog
C:\WINNT\system32\services.exe

SERVEUR: lanmanserver
C:\WINNT\System32\services.exe

STATION DE TRAVAIL: lanmanworkstation
C:\WINNT\System32\services.exe

SERVICE D'APPLICATION D'ASSISTANCE TCP/IP NETBIOS: LmHosts
C:\WINNT\System32\services.exe

PLUG-AND-PLAY: PlugPlay
C:\WINNT\system32\services.exe

EMPLACEMENT PROTÉGÉ: ProtectedStorage
C:\WINNT\system32\services.exe

SERVICE D'EXÉCUTION PAR DÉLÉGATION: seclogon
C:\WINNT\system32\services.exe

CLIENT DE SUIVI DE LIEN DISTRIBUÉ: TrkWks
C:\WINNT\system32\services.exe

EXTENSIONS DU PILOTE WMI: Wmi
C:\WINNT\system32\Services.exe

SYMANTEC EVENT MANAGER: ccEvtMgr
"C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"

SYSTÈME D'ÉVÉNEMENTS DE COM+: EventSystem
C:\WINNT\System32\svchost.exe -k netsvcs

CONNEXIONS RÉSEAU: Netman
C:\WINNT\System32\svchost.exe -k netsvcs

MÉDIAS AMOVIBLES: NtmsSvc
C:\WINNT\System32\svchost.exe -k netsvcs

GESTIONNAIRE DE CONNEXIONS D'ACCÈS DISTANT: RasMan
C:\WINNT\System32\svchost.exe -k netsvcs

NOTIFICATION D'ÉVÉNEMENT SYSTÈME: SENS
C:\WINNT\system32\svchost.exe -k netsvcs

PARTAGE DE CONNEXION INTERNET: SharedAccess
C:\WINNT\System32\svchost.exe -k netsvcs

TÉLÉPHONIE: TapiSrv
C:\WINNT\System32\svchost.exe -k netsvcs

MGABGEXE: MGABGEXE
C:\WINNT\System32\mgabg.exe

SERVICE NORTON ANTIVIRUS AUTO-PROTECT: navapsvc
"C:\Program Files\Norton AntiVirus\navapsvc.exe"

AGENT DE STRATÉGIE IPSEC: PolicyAgent
C:\WINNT\System32\lsass.exe

GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
C:\WINNT\system32\lsass.exe

SERVICE D'ACCÈS À DISTANCE AU REGISTRE: RemoteRegistry
C:\WINNT\system32\regsvc.exe

APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
C:\WINNT\system32\svchost -k rpcss

PLANIFICATEUR DE TÂCHES: Schedule
C:\WINNT\system32\MSTask.exe

SPOULEUR D'IMPRESSION: Spooler
C:\WINNT\system32\spoolsv.exe

STILL IMAGE SERVICE: StiSvc
C:\WINNT\system32\stisvc.exe

TRUEVECTOR INTERNET MONITOR: vsmon
C:\WINNT\system32\ZoneLabs\vsmon.exe -service

INFRASTRUCTURE DE GESTION WINDOWS: WinMgmt
C:\WINNT\System32\WBEM\WinMgmt.exe

MISES À JOUR AUTOMATIQUES: wuauserv
C:\WINNT\system32\svchost.exe -k wugroup

minipouss

un mini mini

bah non ça me semble normal ça

tu avais fouillé la base de registre avec les noms des dll?

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein

balltrap34

salut
essai ceci pour voir si dll cacher
dllfix
http://pageperso.aol.fr/balltrap34/page%20virus.htm

-Pose-le sur le bureau.
-Double-clique.
-Décompresse-le sur le bureau.
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
-Une fois la recherche terminée, un fichier txt doit apparaître sous
le nom "Output.txt" et sera sauvegardé dans le dossier.
-Copie/colle le contenu de "Output.txt" dans ta réponse.

Message édité par balltrap34 le 20-10-2004 à 16:32:43

---------------
la chasse et le balltrap une vrai passion http://www.florensac-chasse-trap.com/

cocorezo

Baaaaaaaaaaahhhh

bon, bah j'ai retardé l'inévitable, mais j'ai rien réussi à trouver pour éradiquer cette m... de v i r u s.
Ce soir, c'est formatage assuré :jap:

audax

balltrap34 a écrit :

salut
-Copie/colle le contenu de "Output.txt" dans ta réponse.

voilà; si vous avez la solution..

--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--

mer. 20/10/2004
22:19

System Info:

Microsoft Windows 2000 [Version 5.00.2195]
C: "" (2C18:AA61) - FS:NTFS clusters:4k
Total: 40 007 729 152 [37G] - Free: 36 184 756 224 [34G]

*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.0.2140.1 C:\WINNT\system32\notepad.exe
5.0.2140.1 C:\WINNT\notepad.exe
*Media Player version :

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q823353;Q833989;

Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.

Scanning for main Hijacker:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{834261E1-DD97-4177-853B-C907E5D5BD6E}]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="Filtre MIME de l'afficheur Web"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/xml]
"CLSID"="{807553E5-5146-11D5-A672-00B0D022E945}"

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ

*Security settings for 'Windows' key:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read BUILTIN\Utilisateurs
(IO) ALLOW Read BUILTIN\Utilisateurs
(NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access BUILTIN\Administrateurs
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access CREATEUR PROPRIETAIRE

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Read BUILTIN\Utilisateurs avec pouvoir
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM

audax

il y a une chose que je veut rajouter. le fichier dpe.dll j'arrive à le supprimer dans régédit en mode sans échec.
mais qd je veut le supprimer dans le mode normal, dans régédit, il m'autorise pas à le supprimer ni à changer de nom. qd je le supprime dans le mode sans échec, et que je redémarre, il revient.

Publicité

Page : 1 2

Page Suivante

Page Précédente

Haut de page

FORUM HardWare.fr

Windows & Software

Sécurité

Un virus pourrit ma machine... J'arrive pas à le supprimer :-/

Sujets relatifs
anti virus sur clé USB + Pb de site xxxx	Help!Virus mabutu...oui encore mais ce n'est pas le même!
Voici les noms des virus qui infectés mon ordinateur.	[W2K] Je n'arrive pas à faire une disquette de boot
Contact msn virus	mise à jour de virus sous norton et sans internet
erasator", c'est quoi ce virus???????	peut on choper 1 virus juste en clickant sur un lien d'un site web?
Analyse Kaspersky qui déraille ou virus ?	Virus Dialer-Y+ win32: trojano 141
Plus de sujets relatifs à : Un virus pourrit ma machine... J'arrive pas à le supprimer :-/

Page générée en 0.108 secondes