Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1627 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Virus indelogeable et invisible

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Virus indelogeable et invisible

n°1449997
Edgard
Posté le 13-02-2004 à 16:10:56  profilanswer
 

Je viens de réinstaller windows XP après un formatage de mon C, et ai mis Kaspersky comme antivirus,  mis à jours bien sur.
 
Mais voilà le soir quand je rentre chez moi et que je regarde le log de Kaspersky, je vois qu'il a trouver un fichier virusé, qu'il a effacé bien sur.
Le problème, c'est qu'il y a une liste d'une dizaine d'infection et de delete, mais des deux ou trois même fichiers, qui sont scchost.exe et msnv32.exe principalement, infecté par backdoor.sdbot.gen ou backdoor.sdbot.dc ou backdoor.sdbot.ck.
Y en a eu d'autre aussi, mais je n'ai pas pris soin de les noter, pensant que le problème etait réglé.
Ces fichiers sont donc trouvé infecté, effacé et retrouvé de nouveau infecté une demi heure plus tard.
Ils n'arrêtent pas de revenir sans arret en boucle.
Et j'ai eu beau faire un scan complet de mons PC plusieurs fois, il ne trouve aucun autre fichier infecté, donc, j'ai donc un système clean apparemment, ce qui n'empêche pas le lendemain de ré-avoir cette liste de fichiers in fecté et effacé dans le log.
 
Je vois pas quoi faire d'autre pour résoudre ce problème, car je vois pas comment ce virus peut se retrouver sans arret sur ma machine si il a été effacé, j'ai aussi fait un scan en ligne, et ca ne change rien.
 
J'ai regarder si un programme inhabituel tournais en tache de fond, je n'ai rien vu d'anormal non plus.
 
 
Donc en bref, HELP!!!!!
 

mood
Publicité
Posté le 13-02-2004 à 16:10:56  profilanswer
 

n°1450043
bill.fr
Posté le 13-02-2004 à 16:45:31  profilanswer
 

ces fichiers sont ils tous dans system32 ?


---------------
On ne vit qu'une fois, mais pour qui sait vivre, une seule fois suffit (Merril Stubbing)
n°1450053
Edgard
Posté le 13-02-2004 à 16:53:09  profilanswer
 

Il me semble, mais je suis pas sur a 100%.
Pourquoi, ça change quelque chose?

n°1450054
pgriffet
Posté le 13-02-2004 à 16:53:13  profilanswer
 

Tu peux lire mon sujet : http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269
 
copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.
Explications en français sur HijackThis
 
http://assiste.free.fr/p/internet_ [...] hijack.php
 
Tu peux faire un scan antivirus en ligne ici
 
http://www.secuser.com/outils/antivirus.htm
 
Hijack montre 99 % des virus.

n°1450056
Edgard
Posté le 13-02-2004 à 16:55:42  profilanswer
 

OK, je vais faire un scan dés que possible ainsi que mettre HijackThis.


Message édité par Edgard le 13-02-2004 à 16:56:36
n°1450093
bill.fr
Posté le 13-02-2004 à 17:21:10  profilanswer
 

Edgard a écrit :

Il me semble, mais je suis pas sur a 100%.
Pourquoi, ça change quelque chose?


 
Oui :-) chose que j'ai repérée y'a pas très longtemps.
Dans system32/, y'a un sous dossier dllcache/ caché et compressé (faut faire afficher les fichiers du système d'exploitation dans option des dossiers pour le voir) qui contient une copie des fichiers 'importants' de system32/, et qu'il recopie dans system32/ dès qu'ils en sont modifiés ou supprimés. Ton virus se cache peut être dedans et ton antivirus ne voit pas ce dossier... ?


---------------
On ne vit qu'une fois, mais pour qui sait vivre, une seule fois suffit (Merril Stubbing)
n°1450146
king_ping
Avis de Chao Social...
Posté le 13-02-2004 à 17:58:49  profilanswer
 

mois ça m'est arrivé pour un .ace ... il faut le suppimer a la mano en mode ss echec ...(j C tjrs pas pkoi...)

n°1450223
balltrap34
Posté le 13-02-2004 à 18:41:46  profilanswer
 

http://pageperso.aol.fr/Balltrap34/salut.gif
desactive la restauration sysyteme
ensuite scan avec ton anti virus  
pense a reactiver ta restauration

n°1450278
darkcrysta​l
Posté le 13-02-2004 à 19:22:41  profilanswer
 

si ton virus reviens tout le temps c'est surement que ton systéme n'est pas correctement patché.
 
utilise windows update ci dessous.
 
http://windowsupdate.microsoft.com/

n°1450335
Edgard
Posté le 13-02-2004 à 19:59:08  profilanswer
 

Ben si, je fait un windwos update régulièrement, et je suis à jours, j'ai fait un scan ad-aware aussi.
 
Je viens de finir le scan antivirus en ligne, et rien trouve.


Message édité par Edgard le 13-02-2004 à 20:39:14
mood
Publicité
Posté le 13-02-2004 à 19:59:08  profilanswer
 

n°1450384
pgriffet
Posté le 13-02-2004 à 21:01:54  profilanswer
 

Poste le Hijack, on verra bien ce qu'il en est.

n°1450505
Edgard
Posté le 13-02-2004 à 22:42:24  profilanswer
 

Ah ben maitnenant c'est secte.exe qu'il a trouver et qu'il a supprimé, nouveau celui là.
D'où ils peuvent bien venir tout ces virus de merde.
 
Logfile of HijackThis v1.97.7
Scan saved at 22:36:14, on 13/02/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\NetCaptor\NetCaptor.exe
D:\Divers\Hijack\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Personnaliser - C:\Program Files\PROMT98\promtie4\options.htm
O8 - Extra context menu item: Rechercher sur Internet - C:\Program Files\PROMT98\promtie4\search.htm
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Traduire - C:\Program Files\PROMT98\promtie4\translat.htm
O8 - Extra context menu item: Traduire dans R-Express - C:\Program Files\PROMT98\promtie4\wts.htm
O8 - Extra context menu item: Traduire la page - C:\Program Files\PROMT98\promtie4\page.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/office [...] t/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 2683912037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBFFFC25-223B-47CC-94CF-4A0748E02D92}: NameServer = 212.35.2.1,168.95.192.1


Message édité par Edgard le 13-02-2004 à 22:42:46
n°1450620
Edgard
Posté le 13-02-2004 à 23:41:03  profilanswer
 

J'ai trouver un truc, en tout k en partie, dans windows xp, dans start/all programs/ accessories/system tools, y a sheduled tasks.
J'ai vu dans l'event viewer que aux heure kaspersky trouvais le virus msnv32.exe une task c'etais lance a ce moment la.
et la je suis dans le sheduled tasks et je vois trois tache que j'ai jamais cree qui semble cree les fichier msnv32.
Mais il en reste que trois qui doivent se lancer demain samedi, je les ais donc efface, et j'espere que c'est de la que venais les autres aussi.
 
Je vois dans l'event viewer qu'il y a eu plus d'une trentaine de tâches qui se sont lancées, et qu'une seule fois chacune, il en restais trois donc j'espere que maintenant c'est bon et que c'etais ca.

n°1450651
sielfried
Posté le 14-02-2004 à 00:04:19  profilanswer
 

http://securityresponse.symantec.c [...] sdbot.html
 
Doit y avoir des infos utiles ici.

n°1450660
Edgard
Posté le 14-02-2004 à 00:19:24  profilanswer
 

Mauvaise nouvelle, de nouveau le fichier à été recrée et supprimé, donc en fait à ce que je comprend, ce fichier est crée par je ne sais quel programme ou autre, mais en plus ce programme crée des "sheduled tasks" qui ont pour but de le lancer à un moment precis de la journée ( oui j'ai trouver une nouvelle tache de crée dans le sheduled task ), bref, fait chier.
 
Et Sielfried, j'ai rien trouver comme fichier en rapport avec ceux presente par symantec, ni de cle qui s'y rapporte dans la base de registre.


Message édité par Edgard le 14-02-2004 à 00:20:26
n°1450712
hpdp00
bleus, c'est fou
Posté le 14-02-2004 à 04:17:01  profilanswer
 

http://www.sophos.fr/virusinfo/ana [...] ndexi.html


---------------
du vide, j'en ai plein !
n°1451102
Edgard
Posté le 14-02-2004 à 15:56:54  profilanswer
 

Je crois que cette fois c'est bon, grace au lien de Sielfried, qui m'a mis sur la voie.
 
C'étais ça il semblerait http://securityresponse.symantec.c [...] dex.f.html mon mot de passe etait computer justement.
 
Je savais que c'étais pas original, mais pas à ce point là.  
 
Enfin, je l'ai changer et depuis j'ai pas encore eu de problème, donc espérons que ça dure.  
 
En tout cas, merci pour votre aide les gars.


Message édité par Edgard le 14-02-2004 à 15:58:34

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Virus indelogeable et invisible

 

Sujets relatifs
[Topic Unique] Comportement louche de votre machine (virus) c'est iciHELP! cmd.exe sature mon écran! VIRUS?
[ Topik Unik R ] : Virus Welchia.B, C, NachiAnti virus et firewall pour win 2003 ?
comment on fait pour enlever un virus ??vous aussi vous etes bombardé de mail avec des virus en ce moment ?
mon PC envoie des mails tout seul, mais pas de virus trouvévirus? trojan? ou problem materiel ??
virus bloodhound.exploit.1 dans svchost.exej'ai peur des virus
Plus de sujets relatifs à : Virus indelogeable et invisible


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR