virus sasser non détecté!!! help

virus sasser non détecté!!! help - Logiciels - Windows & Software

Marsh Posté le 13-03-2005 à 18:19:47    

salut a tous, jai un gros probleme,
depuis cematin jai le message tipic de Sasser/Blaster:
ARRET DU SYSTEM.Cet arret a été initié par AUTORITE NT\SYSTEM....
 
le probleme cest que windows est a jour (donc patchs de microsoft installés...)
jai Norton 2004, Spybot et VirusKeeper2005, jai telechargé le truc deradiction de Sasser et celui de Blaster mais aucun de de ca ne le detecte!!
je le vire avec shutdown -a mai c'est temporaire et il revient!!
 
comment faire? merci a tous
 
a noter, je ne peux pas faire de "coller"


Message édité par javo le 13-03-2005 à 18:21:24
Reply

Marsh Posté le 13-03-2005 à 18:19:47   

Reply

Marsh Posté le 13-03-2005 à 18:24:33    

si vraiment ton os est a jour, ton pc ne devrait plus rebooter meme s'il est encore infecté.
 
donc vérifie une nouvelle fois que le patch et bien passé, au besoin repasse le.

Reply

Marsh Posté le 13-03-2005 à 18:27:35    

VirusKeeper c'est un AV ? Parce que 2 antivirus sur la même machine c'est une mauvaise idée.
Sinon, norton est à jour ?

Reply

Marsh Posté le 13-03-2005 à 18:32:55    

norton est a jour et j'ai installé viruskepper (AV) apres avoir assayé FxSasser (quand on le quitte il dise quon peut installer cet antivirus pour virer sasser, alors jai essayer)
 
jai scanné 2 fois avec chaque patch...

Reply

Marsh Posté le 13-03-2005 à 18:34:37    

essaille avec la derniere version de stinger de scanner ton pc normalement il le deteque et l'enleve ...

Reply

Marsh Posté le 13-03-2005 à 19:09:50    

ok jessaye jvou tien o couran ;)

Reply

Marsh Posté le 14-03-2005 à 18:21:38    

Tu n'aurais pas récemment installé un logiciel permettant de chatter et de rejoindre des parties de Counter-Strike, doom ou autres? (je me souviens plus du nom du logiciel)

Reply

Marsh Posté le 17-03-2005 à 21:21:46    

heu si j'ai installé steam mais il ne marche pas...
alors je l'ai desinstallé...
dailleurs voici son message d'erreur quand je me connecte a un compte:
"PreCondition Assertion Failed  
 
Name: In RecvMsgData state  
Program: D:\Program Files\Valve\Steam\Steam.exe  
File: Src\CSClientConnection.cpp  
Line: 1765  
 
m_CurRecvState==eRecvMsgData  
 
(Press Retry to debug the application - JIT debugging must be enabled)  
 
"Abandonner" "Recommencer" "Ignorer" "  

Reply

Marsh Posté le 17-03-2005 à 21:36:43    

va dans ton registre, et supprimes la valeur suivante:

dans  
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Valeur: "avserve2.exe"="%Windir%\avserve2.exe"


+ un scan hijackthis et supprimes le lancement du virus au démarrage du PC, au moins il redémarrera plus, c'est déjà ça! ensuite il faut procéder à la suppression manuelle des fichiers laissés par le virus...
 
A noter qu'un parefeu, lorsqu'il met en attente de validation la connexion du processus isass.exe à internet, il rend le virus inopérant, il suffit de ne pas accepter ni refuser la connexion de isass.exe pour ne pas que le pc reboot.


Message édité par Pc_eXPert le 17-03-2005 à 21:37:26
Reply

Marsh Posté le 18-03-2005 à 09:04:10    

je n'ai pas ce que tu dit: "avserve2.exe"="%Windir%\avserve2.exe" dans RUN et de plus depuis mon avant dernier message le virus n'est apparu qu'une seule fois...
 
voila le log de hijackthis:

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 08:53:00, on 18/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
D:\Program Files\Norton AntiVirus\SAVScan.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Tlniw\Uzzdc.exe
D:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Samurize\Client.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\regedit.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\WinRAR\WinRAR.exe
D:\DOCUME~1\RMY~1\LOCALS~1\Temp\Rar$EX00.985\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fcyuvsyeflonqxgbifndc.i [...] aU8a6.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [GBvEnN6q] D:\WINDOWS\corrxbas.exe
O4 - HKLM\..\Run: [Parallel Tasking] D:\Program Files\Parallel Tasking\ptask.exe
O4 - HKLM\..\Run: [Ulbzf] C:\Program Files\Tlniw\Uzzdc.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WhatPulse] D:\Program Files\WhatPulse\WhatPulse.exe
O4 - Startup: Client Default.lnk = D:\Program Files\Samurize\Client.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Télécharger avec NetTransport - D:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Pages liées - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - D:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: D:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {4418DD4D-7265-4C32-BC0A-3FDB3C2DA938} (Protecter Class) - http://www.xxxtoolbar.com/ist/soft [...] egular.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3925732698
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f012.mail.caramail.lycos.fr [...] loader.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.media-motor.net/cabs/diamond.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?326
O18 - Filter: text/html - (no CLSID) - (no file)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
 


jai fais l'analyseur en ligne mais je prefere ne pas faire nimporte quoi... que faut il supprimer?
 

Citation :

il faut procéder à la suppression manuelle des fichiers laissés par le virus...

comment les vois on?
merci


Message édité par javo le 18-03-2005 à 09:04:34
Reply

Marsh Posté le 18-03-2005 à 09:04:10   

Reply

Marsh Posté le 18-03-2005 à 09:20:11    

bah tu fais une recherche sur le nom des fichiers en questions et tu les supprime


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 18-03-2005 à 09:28:50    

mais ca veut dire quoi les fichiers laissés par le virus?

Reply

Marsh Posté le 18-03-2005 à 09:31:17    

les virus sont des programmes comme un autre, donc ils utilisent parfois plusieurs fichiers, ceux-ci ne sont pas forcément tous effacées, donc à ta charge de le faire manuellement


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 18-03-2005 à 09:32:19    

c xfire le fameux logiciel qui rend un pc fou comme s'il avait Sasser

Reply

Marsh Posté le 18-03-2005 à 09:38:18    

mais je n'est pa de fichier ou logiciel xfire sur mon pc et c'est un logiciel de tchat... dsl si jsuis con et que je comprend pas tout... :(

Reply

Marsh Posté le 18-03-2005 à 09:45:41    

ce logiciel m'avait fait croire que j'avais le virus Sasser (comportement en tout point similaire) alors qu'il entrait tout simplement en conflit avec Netlimiter.
 
Es-tu sûr d'avoir ton windows à jour (sp2)? car ds ce cas tu n'as pas pu chopé Sasser... Et c'est pr ca que je penchais vers un conflit entre logiciels.

Reply

Marsh Posté le 18-03-2005 à 09:49:56    

oui je suis sur j'ai encore verifié ce matin, mais il est vrai que depuis que j'ai essayé de reinstallé steam, (message d'erreur plus haut...) le "virus" est apparut... ca doit venir de la mais comment resoudre ce pb de steam?...

Reply

Marsh Posté le 18-03-2005 à 10:14:04    

en le désinstallant... mais tu sembles l'avoir déjà fait.
Franchement je ne sais pas quoi te dire de plus, à part de tenter une restauration système d'avant la date d'apparition de ton pb.  
Mais essaie d'abord d'autres antivirus en ligne (du genre: http://www.secuser.com/antivirus/index.htm).
 
PS: si tu as un virus, ca ne sert à rien d'installer un antivirus alors que ton pc est déjà infecté car il ne pourra rien faire.

Reply

Marsh Posté le 18-03-2005 à 11:06:31    

ok merci a tous
a bientot ;)


Message édité par javo le 18-03-2005 à 11:06:42
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed