virus spywares et autres saloperies

virus spywares et autres saloperies - Sécurité - Windows & Software

Marsh Posté le 20-08-2004 à 16:20:29    

bonjour et au secours,
j'ai un virus w32.pinfi et des processus qui ralentissent mon W2K (surtout lorsque connecté). Si quelqu'un sait décrypter ça : merci d'avance
 
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\xl.exe
C:\WINNT\Explorer.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\WINNT\System32\rxhost.exe
C:\WINNT\System32\wmon32.exe
C:\WINNT\System32\wuam.exe
C:\WINNT\System32\IEXPLORE.EXE
C:\WINNT\System32\msie.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\rxhost.exe
C:\WINNT\System32\msie.exe
C:\WINNT\System32\ZoneLabs\vsmon.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\sum411\LOCALS~1\Temp\Rar$EX0g.v00\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [Microsoft Update Machine] rxhost.exe
O4 - HKLM\..\Run: [WSAConfiguration] wmon32.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [Microsoft Features] msie.exe
O4 - HKLM\..\Run: [MSN Update] dllcon.exe
O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] rxhost.exe
O4 - HKLM\..\RunServices: [WSAConfiguration] wmon32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Microsoft Features] msie.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] rxhost.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [Microsoft Features] msie.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

Reply

Marsh Posté le 20-08-2004 à 16:20:29   

Reply

Marsh Posté le 20-08-2004 à 16:44:52    

Alors c'est vraiment le bordel là ton PC  :D  
 
En suspect il y a :
 
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe  
mais j'ai un doute faut vérifier je trouve juste ça bizarre mais si c'est un prog que t'a installé alors no pb
C:\WINNT\System32\internat.exe sauf si tu as une icône de gestion des langues dans la barre des tâches
 
 
Saloperie à coup sûr
 
C:\WINNT\System32\rxhost.exe  
A l'air pas mal dangeureux, regarde : http://uk.trendmicro-europe.com/en [...] RM_RBOT.FC
 
C:\WINNT\System32\wmon32.exe  
C:\WINNT\System32\wuam.exe  
O4 - HKLM\..\Run: [Microsoft Update Machine] rxhost.exe
O4 - HKLM\..\Run: [WSAConfiguration] wmon32.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe  
O4 - HKLM\..\Run: [MSN Update] dllcon.exe  
O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe  
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe  
O4 - HKLM\..\RunServices: [Microsoft Update Machine] rxhost.exe  
O4 - HKLM\..\RunServices: [WSAConfiguration] wmon32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe  
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe  
O4 - HKCU\..\Run: [Microsoft Update Machine] rxhost.exe  
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe  
O4 - HKCU\..\Run: [MSN Update] dllcon.exe  
 
En fait il te suffit de faire une recherhe sur le nom du fichier en .exe dans Google et tu trouves  ;)


---------------
Z'avez des questions ? Non.... bon je recommence
Reply

Marsh Posté le 20-08-2004 à 17:01:05    

C:\WINNT\System32\xl.exe si tu as XtreamLok c'est bon
 
C:\WINNT\System32\rxhost.exe virus rbot.fc http://uk.trendmicro-europe.com/en [...] RM_RBOT.FC
 
C:\WINNT\System32\wmon32.exe c'est un des virus Agobot (Gaobot)
 
C:\WINNT\System32\wuam.exe sûrement un virus rbot encore, par exemple rbot-m http://www.sophos.fr/virusinfo/analyses/w32rbotm.html
 
C:\WINNT\System32\IEXPLORE.EXE si c'était Ineternt Explorer ne devrait-il pas se trouver dans Program Files? Et d'ailleurs il ne se lancerait pas à l'ouverture de Windows ;) C'est encore un autre virus, lequel je sais pas car ça peut en être plein de différents
 
C:\WINNT\System32\msie.exe I-Worm.Unicle virus
 
C:\WINNT\System32\internat.exe virus (pleins) si tu n'as pas l'icone de changement de langue en bas à droite de ton écran
 
C:\WINNT\System32\rxhost.exe déja vu plus haut
 
C:\WINNT\System32\msie.exe déja vu
 
O4 - HKLM\..\Run: [Microsoft Update Machine] rxhost.exe
O4 - HKLM\..\Run: [WSAConfiguration] wmon32.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [Microsoft Features] msie.exe
O4 - HKLM\..\Run: [MSN Update] dllcon.exe
O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] rxhost.exe
O4 - HKLM\..\RunServices: [WSAConfiguration] wmon32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Microsoft Features] msie.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] rxhost.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [Microsoft Features] msie.exe
 
 
En résumé ton pc est bien infecté d'au moins 3-4 bon virus :D
 
plutot que de faire avec Hijack passe d'abord ton pc avec un scan en ligne chez Trend Micro par exemple  
 
http://fr.trendmicro-europe.com/co [...] launch.php
 
ou Ravantivirus  
 
http://www.ravantivirus.com/scan/]Ravantivirus Online Scan
 Cliquer sur "To continue without subscribing click here" et attendre quelques minutes. Lorsque "Ready" est affiché dans "status", cliquer sur "Scan my PC".
 
edit :  [:benou_grilled] ça m'apprendra à pas reloader et à prendre ton mon temps pour rechercher chaque virus sous google :D


Message édité par minipouss le 20-08-2004 à 17:02:55
Reply

Marsh Posté le 20-08-2004 à 17:25:38    

beau travail quand meme :jap:

Reply

Marsh Posté le 20-08-2004 à 17:29:48    

veryfree a écrit :

beau travail quand meme :jap:

:lol: c'est vrai faut le faire quand même :D

Reply

Marsh Posté le 16-09-2004 à 12:38:20    

ndi76 a ecrit :  
 
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe  
mais j'ai un doute faut vérifier je trouve juste ça bizarre mais si c'est un prog que t'a installé alors no pb
 
Attention ne le supprime pas cela fait partit de ta connexion internet, tu dois avoir comme moi une connexion avec une neufbox de chez neuf telecom !

Reply

Marsh Posté le 05-10-2004 à 23:44:41    

moi en tous cas g le meme processus qui tourne et g comme toi une neuf box alors ça doit etre ça.
en tous cas il est pas très répandu

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed