Petit soucis , virus ?
Petit soucis , virus ? - Sécurité - Windows & Software
Marsh Posté le 15-05-2005 à 21:11:42
avant de faire un scan antivirus desactive la restauration du system, certain virus se mettent dedans et reviennent apres avoir ete supprimés !!
Marsh Posté le 15-05-2005 à 21:21:10
Salut !
Redémarre en mode sans échec (tapotant F8 au démarrage). Désactive la restauration du système (clic-droit sur Poste de Trav, propriétés, restauration...)
Pour ton trojan, recherche dans la base des registres (Démarrer -> Exécuter -> "regedit" ), toutes les entrées au nom de "41.exe" (détruit-les).
Assure-toi d'avoir accès aux fichiers cachés et protégés, recherche le fichier 41.exe si trouvable... (détruit-le -> également dans le dossier c:\windows\prefetch\)
Si tu es chez Wanadoo, ne fixe SURTOUT PAS les lignes contenant 80.10.246.134 80.10.246.7 ... tu perdrais ta connexion au net. Pour le reste, fais confiance à l'analyseur...
Pour avoir accès à tes backups en cas de fausse manoeuvre, tu dois DECOMPRESSER HijackThis AVANT de fixer les lignes.
Si tu veux supprimer AOL (ou plutôt le plugin d'AOL, tu fixes dans HijackThis)...
J'espère que tu as REFUSE le sponsor pour msn+, sinon tu as du LOP (GROSSE crasse)
Tu as également le virus "W32/Esalone-A", donc, en mode sans échec, tu vires le dossier "D-Tools" et tu effaces tous les daemon.exe de la base des registres...
Tu fais pareil avec "RefreshLock.exe" (sauf si tu connais et que tu utilises ce programme).
Pour Steam.exe (dans le dossier du même nom), tu l'envoies ici : http://virusscan.jotti.org/ et tu vérifies qu'il est clean...
StyleXP, Daily Weather Forecast et msn+ n'ont pas très bonne réputation quand à la "propreté" de leurs produits... Personnellement, je désinstallerais.
Tu sembles télécharger n'importe quoi, attention à toi,
Bonne fin de we !
Reposte un log dans 24h...
Marsh Posté le 16-05-2005 à 11:48:31
| wawaseb a écrit : Salut ! |
Non tout ça est tout à fait normal. Daemon tool est un programme connu, Steam est le logiciel de jeu en ligne de Valve (il est clean 
), StyleXp m'a jamais posé de soucis, RefreshLock est un programme pour le rafrachissement de l'écran. 
| Citation : Tu sembles télécharger n'importe quoi, attention à toi, |
T'inquiète pas je fais attention
Merci à toi pour tout tes conseils. Dès que j'ai un peu de temps je fais la manip pour virer 41.exe
Message édité par Lemminkainen le 16-05-2005 à 11:49:38
---------------
Que vois-tu quand tu fermes les yeux ?
Marsh Posté le 16-05-2005 à 13:15:20
Le processus Daemon.exe correspond (dans certains cas) au ver "Selotima", StyleXP est clean, c'est vrai mais comme dirait cet utilisateur : "STYLEXP encore un truc qui alourdit ton PC et rend inutilisable IE + Explorateur !!!"
Quant à "RefreshLock", beaucoup conseillent de le désactiver...
Bien à toi,
Marsh Posté le 16-05-2005 à 15:01:17
O17 - HKLM\System\CCS\Services\Tcpip\..\{177AF516-7701-452B-896A-C62E683EE688}: NameServer = 80.10.246.134 80.10.246.7
J'avais cette entrée sur le pc à mon petit frere. Il st chez tele2. Si je la supprime plus d'ccès au net. Donc si tu la supprimes, et que tu es chez tele2, vérifie que tu as toujours le net... par contre je sais pas ce que c'est... peut etre les DNS ou proxy ( j'ai pas eu le temps d'aller fouiller sur so PC )
Ciao
Fred
Message édité par frederikk le 16-05-2005 à 15:01:38
Sujets relatifs:
- Pb téléchargement définition virus de BitDefender 8 Pro
- Virus msn 7
- virus dans mails à répétitions
- Enorme soucis: Comptes Administrateurs verouillés
- Un autre problème de virus grateur sniffeur....
- petit problème....
- Virus ???
- Virus -> besoin d'aide
- Virus ou pas ?
- Virus/worm inconnu et rémanent dans dossier partagé
Marsh Posté le 15-05-2005 à 20:57:59
Salut !!
Mon AVP m'indique de temps en temps un 41.exe qui est un trojan blabla. Bon j'ai beau chercher partout sur mes disques dur je le trouve pas.
Ayant bonne conscience je fais un spybot et un hijackthis ainsi que l'analyse sur : http://www.hijackthis.de/index.php
Mon log hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 20:48:07, on 15/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
G:\Program Files\AVPersonal\AVGUARD.EXE
G:\Program Files\AVPersonal\AVWUPSRV.EXE
G:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\sstray.exe
G:\Program Files\D-Tools\daemon.exe
G:\Program Files\Java\jre1.5.0\bin\jusched.exe
G:\refresh\RefreshLock.exe
G:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
G:\Program Files\Acronis\TrueImageWorkstation\TrueImageMonitor.exe
G:\Program Files\MessengerPlus! 3\MsgPlus.exe
G:\Program Files\AVPersonal\AVGNT.EXE
G:\WINDOWS\system32\ctfmon.exe
G:\Program Files\Olitec RNIS\ccmon.exe
G:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
G:\Program Files\FlashGet\flashget.exe
G:\Program Files\Messenger\msmsgs.exe
C:\Steam\Steam.exe
G:\Program Files\MSN Messenger\msnmsgr.exe
G:\Program Files\Mozilla Firefox\firefox.exe
G:\Program Files\Windows Media Player\wmplayer.exe
G:\Program Files\Internet Explorer\iexplore.exe
G:\Program Files\Internet Explorer\iexplore.exe
G:\DOCUME~1\Faust\LOCALS~1\Temp\Rar$EX01.697\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://r.wanadoo.fr/r/WGrecherche
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.20six.fr/flo
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - G:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\program files\google\googletoolbar3.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - G:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - G:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off
O4 - HKLM\..\Run: [NeroCheck] G:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "G:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RefreshLock] G:\refresh\RefreshLock.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "G:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] G:\Program Files\Acronis\TrueImageWorkstation\TrueImageMonitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "G:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Daily Weather Forecast] G:\Program Files\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [ICQ Lite] G:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] G:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] G:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: CAPI Tray.lnk = G:\Program Files\Olitec RNIS\ccmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = G:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = H:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://g:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Recherche AOL Toolbar - res://G:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://g:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://g:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger avec FlashGet - G:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - G:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://g:\program files\google\GoogleToolbar3.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - G:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/ac [...] 0-3-24.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f001.mail.caramail.lycos.fr [...] loader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{177AF516-7701-452B-896A-C62E683EE688}: NameServer = 80.10.246.134 80.10.246.7
O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - G:\Program Files\Fichiers communs\Acronis\Agent\agent.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - G:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - G:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: StyleXPService - Unknown owner - G:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
Et voila ce que me dit l'analyseur :
O8 - Extra context menu item: &Recherche AOL Toolbar - res://G:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
Méchant Cette inscription &Recherche AOL Toolbar a été identifiée comme étant méchante.
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f001.mail.caramail.lycos.fr [...] loader.cab
Eventuellement méchant Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si linscription contient des mots comme 'dialer', 'casino', 'free plugin' etc. Vérifiez si vous connaissez ce site. Si tel nest pas le cas, effacez l'inscription.
O17 - HKLM\System\CCS\Services\Tcpip\..\{177AF516-7701-452B-896A-C62E683EE688}: NameServer = 80.10.246.134 80.10.246.7
Eventuellement méchant Effacer cette inscription si le domaine nappartient pas à lISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'. Effacer si lIP ou le domaine '80.10.246.134 80.10.246.7' ne vous est pas connu.
Je me demande si sa vaut le coup de suprimer un truc ou deux ? Aol je le trouve pas sur mon disque local
---------------
Que vois-tu quand tu fermes les yeux ?