virus recurents

virus recurents - Sécurité - Windows & Software

Marsh Posté le 22-06-2005 à 09:56:29    

Bonjour  
 
J'ai depuis quelques semaines des pbms sous XP  
 
des que j'essaie de me connecter au net (connection 56K), Norton antivirus trouve des Tojan Low Zones, toujours sur les memes fichiers:  
 
Dans le Temporary Internet Files:  
 
dedoz[1].exe, dedoz[2].exe, gamma[1].exe, gamma[2].exe  
 
A la racine du C:  
 
sys32path43.exe  
sp1update65.exe  
 
Norton Antivirus supprime ces fichiers à chaque fois, mais ensuite la connexion Inernet (56K) se coupe toute seule.  
 
Je ne peux donc plus aller sur le net ou mettre à jour Norton.  
 
Ad-Aware et Spybot ne trouvent rien (meme en mode sans echec)  
J'ai nettoyé plusieurs fois avec CCleaner et Cleanup (y compris en mode dans echec)  
 
Dans Hijack une ligne revient tout le temps:  
023 : (hwclock.exe) (alors que j'ai supprimé le fichier)  
 
Logfile of HijackThis v1.99.1  
Scan saved at 19:36:00, on 21/06/2005  
Platform: Windows XP SP1 (WinNT 5.01.2600)  
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)  
 
Running processes:  
C:\WINDOWS\System32\smss.exe  
C:\WINDOWS\system32\winlogon.exe  
C:\WINDOWS\system32\services.exe  
C:\WINDOWS\system32\lsass.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\System32\svchost.exe  
C:\WINDOWS\Explorer.EXE  
C:\WINDOWS\system32\spoolsv.exe  
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe  
c:\Program Files\Norton Personal Firewall\NISUM.EXE  
c:\Program Files\Norton Personal Firewall\ccPxySvc.exe  
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe  
c:\Program Files\Norton AntiVirus\navapsvc.exe  
C:\windows\system\hpsysdrv.exe  
C:\HP\KBD\KBD.EXE  
C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe  
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe  
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe  
C:\WINDOWS\System32\msnq3insller.exe  
C:\Program Files\Messenger\msmsgs.exe  
C:\WINDOWS\System32\msnq3insller.exe  
C:\WINDOWS\System32\wuauclt.exe  
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe  
 
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll  
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll  
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll  
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe  
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe  
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE  
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r  
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE  
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup  
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe  
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"  
O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"  
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe  
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe  
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe  
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe  
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe  
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook  
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background  
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe  
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present  
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll  
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe  
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe  
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\ccPxySvc.exe  
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)  
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe  
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\NISUM.EXE  
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe  
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe  
 
Je ne sais plus quoi faire...  
 
MERCI de bien vouloir m'aider

Reply

Marsh Posté le 22-06-2005 à 09:56:29   

Reply

Marsh Posté le 22-06-2005 à 16:00:35    

Pas de réponse ?

Reply

Marsh Posté le 22-06-2005 à 16:16:43    

Salut,
supprime tous ce qui contient msnq3insller.exe, il y en a beaucoup trop c'est bizarre.

Reply

Marsh Posté le 22-06-2005 à 17:06:32    

Effectivement...

Reply

Marsh Posté le 22-06-2005 à 22:29:19    

Re, installe Hijackthis correctement:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
 
Télécharge CCleaner:
http://www.ccleaner.com/ccdownload.asp
 
Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne  
 
Hardware Clock Driver (hwclock)  
 
Double clique sur la ligne  
Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de  C:\WINDOWS\System32\hwclock.exe dans Type de démarrage, sélectionne Désactiver et valide la modification
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
 
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe  
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe  
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe  
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)  
 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
 
msnq3insller.exe  
C:\WINDOWS\System32\hwclock.exe
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Exécute CCleaner sur chaque session utilisateur
 
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.


Message édité par stonangel le 22-06-2005 à 22:40:20
Reply

Marsh Posté le 23-06-2005 à 08:54:12    

Salut et MERCI,
 
J'ai suivi tes instructions et je n'ai plus de virus detectés quand je me connecte, je n'ai plus non plus les lignes litigieuses (notamment hwclock.exe) dans Hijack.
 
Mais... Car il ya un Mais... quand je me connecte (56K)  et télécharge (maj antivurus, logiciel...) au bout de 2/3 min, le telechargement ne progresse plus et l'ordi se bloque (la connexion semble ne pas être coupée..).
 
Sypbot, Ad-aware, Cwshredder, Norton AV ne detectent rien...
 
Je me demande si je n'ai pas viré des trucs qu'il  fallait pas pas dans Hijack...  
 
Je ne pourrais pas envoyer de log avant ce soir (...ou demain matin..)
 
Encore une question :
 
Je n'ai pas de CD de réinstal de XP mais j'ai fait un DVD de réinstal COMPAQ... malheuresement trop tard...(après que mes problèmes soit apprus). J'avais déja essayer de réinstaller avec ce DVD mais les problèmes étaient restés (Virus détectés lors de la connexion puis coupure connexion, hwclock.exe... etc)...
 
Maitenant que mon système est plus propre, si je reinstalle avec ce DVD, les problèmes vont revenir ? les trucs que j'ai éventuellement virés vont revenir ?
 
Encore MERCI

Reply

Marsh Posté le 23-06-2005 à 09:08:15    

oliv5959 a écrit :


 
Maitenant que mon système est plus propre, si je reinstalle avec ce DVD, les problèmes vont revenir ? les trucs que j'ai éventuellement virés vont revenir ?


 
Si ce dvd contient des virus : Oui


Message édité par com21 le 23-06-2005 à 09:08:27

---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed