Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1697 connectés 

  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  Virus msn Parishilton.scr (non résolu)

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Virus msn Parishilton.scr (non résolu)

n°1969801
Benzo29
Groundation c'est bien !
Posté le 22-03-2005 à 15:43:27  profilanswer
 

En fait c'est un plantage très spécial...
Lorsque je fait éxecuter > Regedit
La fenetre s'affiche pendant 1/2 secondes et puis se ferme  :??:  
Pareil lorsque je fait ctrl+alt+suppr puis Gestionnaire des taches.
Pareil lorsque je lance Antivir ou Kerio Personal Firewall... :pt1cable:  
toute aide serait appréciable :jap:


Message édité par Benzo29 le 23-03-2005 à 11:08:20
mood
Publicité
Posté le 22-03-2005 à 15:43:27  profilanswer
 

n°1969821
Benzo29
Groundation c'est bien !
Posté le 22-03-2005 à 15:55:05  profilanswer
 

Pareil quand je lance HijackThis...

n°1969835
sanpellegr​ino
Posté le 22-03-2005 à 16:03:09  profilanswer
 

Symptômes typiques du virus, qui ferme tous ces outils pour empêcher qu'on ne le vire...
 
Fais un scan antivirus online, et poste ici un log hijackthis.


---------------
Got spyware ? | HFR HijackThis Tutorial
n°1969848
Dob777
Posté le 22-03-2005 à 16:09:58  profilanswer
 

sinon telecharge Reghance chez lavasoft
http://www.lavasoftusa.com/
c'est un editeur de registre ça peut aider ...
 
Dob.

n°1969863
Benzo29
Groundation c'est bien !
Posté le 22-03-2005 à 16:16:29  profilanswer
 

sanpellegrino a écrit :

Symptômes typiques du virus, qui ferme tous ces outils pour empêcher qu'on ne le vire...
 
Fais un scan antivirus online, et poste ici un log hijackthis.


 
 
Cf message au dessus qui dit qu'hijackthis ne démarre pas.
Ad-aware trouve des cookies  :pt1cable:  
Spybot trouve des modifications dans la base de registre extrait du log ici :

Code :
  1. DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  2.   HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
  4. DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  5.   HKEY_USERS\S-1-5-21-1202660629-1935655697-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
  7. DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  8.   HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
  10. DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  11.   HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
  13. DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  14.   HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
  17. --- Spybot - Search && Destroy version: 1.3  ---
  18. 2004-05-12 Includes\Cookies.sbi
  19. 2004-05-12 Includes\Dialer.sbi
  20. 2004-05-12 Includes\Hijackers.sbi
  21. 2004-05-12 Includes\Keyloggers.sbi
  22. 2004-05-12 Includes\LSP.sbi
  23. 2004-05-12 Includes\Malware.sbi
  24. 2004-05-12 Includes\Revision.sbi
  25. 2004-05-12 Includes\Security.sbi
  26. 2004-05-12 Includes\Spybots.sbi
  27. 2004-05-12 Includes\Tracks.uti
  28. 2004-05-12 Includes\Trojans.sbi

n°1969870
Dob777
Posté le 22-03-2005 à 16:18:40  profilanswer
 

et pis si tu veux y a le tres tres bon (non non pour une fois ce n'est pas ironique :D  :D ) Microsoft Anti Spyware
 
http://www.clubic.com/telechargeme [...] yware.html

n°1969873
Benzo29
Groundation c'est bien !
Posté le 22-03-2005 à 16:19:45  profilanswer
 

Dob777 a écrit :

et pis si tu veux y a le tres tres bon (non non pour une fois ce n'est pas ironique :D  :D ) Microsoft Anti Spyware
 
http://www.clubic.com/telechargeme [...] yware.html


vi je viens de faire un scan il a supprimer 2 spywares mais ca n'a rien changé...  :cry:

n°1969874
Dob777
Posté le 22-03-2005 à 16:21:19  profilanswer
 

essayer Reghance pour verifier ce qu'il se lance au demarage ??

n°1969877
Benzo29
Groundation c'est bien !
Posté le 22-03-2005 à 16:23:14  profilanswer
 

En fait je peu scanner mon Pc avec Antivir, mais je peu pas lancer Antivir Guard, j'avais oublié de le préciser... Et après un deuxième scan il m'a retrouvé le même problème qu'au premier : PMS/FURootkit, alors qu'il dit avoir supprimer le fichier...

n°1969883
Dob777
Posté le 22-03-2005 à 16:25:04  profilanswer
 

as tu penser a desactiver la restauration du system ??
clic droit poste de travail/proprietes/restauration du systeme/desactiver la restauration du systeme

mood
Publicité
Posté le 22-03-2005 à 16:25:04  profilanswer
 

n°1969899
Snip_oX
Oups!
Posté le 22-03-2005 à 16:34:10  profilanswer
 

J'ai eu ce virus hier. Va voir ici : http://forum.hardware.fr/hardwaref [...] 4965-1.htm

n°1969925
Benzo29
Groundation c'est bien !
Posté le 22-03-2005 à 16:50:23  profilanswer
 

Snip_oX a écrit :

J'ai eu ce virus hier. Va voir ici : http://forum.hardware.fr/hardwaref [...] 4965-1.htm


ah ouais  :pt1cable:  
ca me fait penser qu'effectivement j'ai cliqué sur un lien dans une fenetre msn qui en a ouvert plusieurs fenetre msn hier soir juste avant de me couché, et comme j'étais trop cassé j'ai pas chercher a comprendre et j'ai éteint mon pc  :sleep:  
 
Mais apparement c'est pas tout a fait le même virus je vais voir

n°1970032
Benzo29
Groundation c'est bien !
Posté le 22-03-2005 à 17:51:04  profilanswer
 

C'est pas exactement le même virus en fait.
Il y a des symptome similaire sauf que je peu encore accèder aux sites d'antivirus

n°1970288
Benzo29
Groundation c'est bien !
Posté le 22-03-2005 à 21:25:10  profilanswer
 

Benzo29 a écrit :

C'est pas exactement le même virus en fait.
Il y a des symptome similaire sauf que je peu encore accèder aux sites d'antivirus


 
 
mais je peu pas scanner mon pc avec l'antivirus en ligne.
 
 
Et j'ai pu lancer HiJackThis en renommant le .exe
 
si vous avez des idées voici le log  :jap:  

Code :
  1. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
  2. R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
  3. O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
  4. O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  5. O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
  6. O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
  7. O4 - HKLM\..\Run: [CplBCL50] C:\Program Files\EzButton\CplBCL50.EXE
  8. O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
  9. O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
  10. O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
  11. O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
  12. O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
  13. O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  14. O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
  15. O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
  16. O4 - HKLM\..\Run: [K!IR.exe] C:\Program Files\K!TV\K!IR.exe
  17. O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  18. O4 - HKLM\..\Run: [adiras] adiras.exe
  19. O4 - HKLM\..\Run: [LSA] lsa.exe
  20. O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
  21. O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
  22. O4 - HKLM\..\RunServices: [LSA] lsa.exe
  23. O4 - HKCU\..\Run: [SpeedswitchXP] C:\Program Files\SpeedswitchXP\SpeedswitchXP.exe
  24. O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
  25. O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
  26. O4 - HKCU\..\Run: [LSA] lsa.exe
  27. O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
  28. O4 - HKCU\..\RunServices: [LSA] lsa.exe
  29. O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
  30. O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
  31. O4 - Global Startup: Pinnacle Scheduler.lnk = ?
  32. O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
  33. O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
  34. O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
  35. O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
  36. O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
  37. O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
  38. O8 - Extra context menu item: Télécharger les tous avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
  39. O8 - Extra context menu item: Téléchargé le site  avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
  40. O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
  41. O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
  42. O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
  43. O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
  44. O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  45. O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  46. O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
  47. O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
  48. O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1409292530
  49. O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
  50. O17 - HKLM\System\CCS\Services\Tcpip\..\{9D8C520D-A190-4624-9FE3-5DFE0312EB1C}: NameServer = 217.19.192.132 217.19.192.131
  51. O17 - HKLM\System\CCS\Services\Tcpip\..\{E3AFA4AE-E156-48AD-8145-EB69432A3C15}: NameServer = 193.252.19.3,193.252.19.4
  52. O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
  53. O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
  54. O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
  55. O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
  56. O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
  57. O23 - Service: Virtual IR COM Port, Service Program (IrCOMM2kSvc) - Jan Kiszka - C:\WINDOWS\system32\ircomm2k.exe
  58. O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
  59. O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
  60. O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
  61. O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\system32\S24EvMon.exe

n°1970758
Benzo29
Groundation c'est bien !
Posté le 23-03-2005 à 10:51:43  profilanswer
 

Apparement le virus n'est pas encore recensé...
Le fichier que j'ai du ouvrir se nomme parishilton.scr
N'importe quelle aide serait la bienvenue :(

n°1970789
Benzo29
Groundation c'est bien !
Posté le 23-03-2005 à 11:08:37  profilanswer
 

UP

n°1970795
toc82
Posté le 23-03-2005 à 11:12:14  profilanswer
 

Format et réinstalle tout voila y'a pas plus compliqué

n°1970802
Benzo29
Groundation c'est bien !
Posté le 23-03-2005 à 11:16:21  profilanswer
 

toc82 a écrit :

Format et réinstalle tout voila y'a pas plus compliqué


ah oui j'y avai pas pensé  :heink:
je m'étais dit benoitement que le fait de résoudre ce problème pourrait eventuellement aider tout ceux qui ont le même problème...


Message édité par Benzo29 le 23-03-2005 à 11:17:25
n°1970906
toc82
Posté le 23-03-2005 à 12:41:58  profilanswer
 

Car c'est certainement la solution la plus simple et la plus sur de formater pour qu'il n'y est pas de résisiantce

n°1970922
minipouss
un mini mini
Posté le 23-03-2005 à 12:55:07  profilanswer
 

c'est le virus Chod : regarde là http://forum.hardware.fr/forum2.ph [...] 1#t1502726 otut ou presque y  est indiqué, tu pourras manuellement défaire ce qu'il a fait sur ton pc ;)
 
renomme aussi le regedit pour pouvoir le lancer


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1971253
Benzo29
Groundation c'est bien !
Posté le 23-03-2005 à 16:04:33  profilanswer
 

ca ressemble a ce virus en effet, mais j'arrive pas à l'enlever, il y a des valeurs du registre genre "DisableRegistryTools" qu'il est sensé modifié et j'ai aucune de ces valeurs dans ma bdr, pareil il est sensé créer certain fichiers, mais chez moi il ne les a pas créé...  
Par contre quand je renomme regedit.exe ou taskmgr.exe hijackthis, je peu les lancer.
Est-ce que ca pourrait avoir un lien avec PMS/FURootkit?

n°1971991
whiteburne​r
make love not war !
Posté le 24-03-2005 à 10:01:49  profilanswer
 

heuu question a la con , mais tu as tenté de virer la restauration du systeme sous clic droit sur le poste de travail et reboot en mode sans echecs en mode dos ?
 
WB.


---------------
"Never been much better than at 127.0.0.1"
n°1972224
minipouss
un mini mini
Posté le 24-03-2005 à 12:29:09  profilanswer
 

tu as vérifié toutes les clés qu'il modifie (car il en bouge pas mal)? même si tu ne les as pas toutes tu peux en réparer certaines dont celles qui t'empêche de lancer regedit par exemple


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  Virus msn Parishilton.scr (non résolu)

 

Sujets relatifs
virus html coolweb, javabytever, java openstrapb install imprimante & apn[résolu]
[resolu]Pb installation windows et driver viasraid.sysQue pensez vous de norman virus control
norton anti virus ou kapersky ou un anti virus gratuit[RESOLU] Install auto réseau windows : périph déconnecté
arggggg!! virus tu veux pas me lacher un peu?2 pc en reseaux probleme (resolu)
norton anti virus et service pack 1parishiltonNUDE.pif virus msn ?
Plus de sujets relatifs à : Virus msn Parishilton.scr (non résolu)

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.115 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR