Virus msn Parishilton.scr (non résolu)

Virus msn Parishilton.scr (non résolu) - Win NT/2K/XP - Windows & Software

Marsh Posté le 22-03-2005 à 15:43:27    

En fait c'est un plantage très spécial...
Lorsque je fait éxecuter > Regedit
La fenetre s'affiche pendant 1/2 secondes et puis se ferme  :??:  
Pareil lorsque je fait ctrl+alt+suppr puis Gestionnaire des taches.
Pareil lorsque je lance Antivir ou Kerio Personal Firewall... :pt1cable:  
toute aide serait appréciable :jap:


Message édité par Benzo29 le 23-03-2005 à 11:08:20
Reply

Marsh Posté le 22-03-2005 à 15:43:27   

Reply

Marsh Posté le 22-03-2005 à 15:55:05    

Pareil quand je lance HijackThis...

Reply

Marsh Posté le 22-03-2005 à 16:03:09    

Symptômes typiques du virus, qui ferme tous ces outils pour empêcher qu'on ne le vire...
 
Fais un scan antivirus online, et poste ici un log hijackthis.


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 22-03-2005 à 16:09:58    

sinon telecharge Reghance chez lavasoft
http://www.lavasoftusa.com/
c'est un editeur de registre ça peut aider ...
 
Dob.

Reply

Marsh Posté le 22-03-2005 à 16:16:29    

sanpellegrino a écrit :

Symptômes typiques du virus, qui ferme tous ces outils pour empêcher qu'on ne le vire...
 
Fais un scan antivirus online, et poste ici un log hijackthis.


 
 
Cf message au dessus qui dit qu'hijackthis ne démarre pas.
Ad-aware trouve des cookies  :pt1cable:  
Spybot trouve des modifications dans la base de registre extrait du log ici :

Code :
  1. DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  2.   HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
  4. DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  5.   HKEY_USERS\S-1-5-21-1202660629-1935655697-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
  7. DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  8.   HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
  10. DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  11.   HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
  13. DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  14.   HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
  17. --- Spybot - Search && Destroy version: 1.3  ---
  18. 2004-05-12 Includes\Cookies.sbi
  19. 2004-05-12 Includes\Dialer.sbi
  20. 2004-05-12 Includes\Hijackers.sbi
  21. 2004-05-12 Includes\Keyloggers.sbi
  22. 2004-05-12 Includes\LSP.sbi
  23. 2004-05-12 Includes\Malware.sbi
  24. 2004-05-12 Includes\Revision.sbi
  25. 2004-05-12 Includes\Security.sbi
  26. 2004-05-12 Includes\Spybots.sbi
  27. 2004-05-12 Includes\Tracks.uti
  28. 2004-05-12 Includes\Trojans.sbi

Reply

Marsh Posté le 22-03-2005 à 16:18:40    

et pis si tu veux y a le tres tres bon (non non pour une fois ce n'est pas ironique :D  :D ) Microsoft Anti Spyware
 
http://www.clubic.com/telechargeme [...] yware.html

Reply

Marsh Posté le 22-03-2005 à 16:19:45    

Dob777 a écrit :

et pis si tu veux y a le tres tres bon (non non pour une fois ce n'est pas ironique :D  :D ) Microsoft Anti Spyware
 
http://www.clubic.com/telechargeme [...] yware.html


vi je viens de faire un scan il a supprimer 2 spywares mais ca n'a rien changé...  :cry:

Reply

Marsh Posté le 22-03-2005 à 16:21:19    

essayer Reghance pour verifier ce qu'il se lance au demarage ??

Reply

Marsh Posté le 22-03-2005 à 16:23:14    

En fait je peu scanner mon Pc avec Antivir, mais je peu pas lancer Antivir Guard, j'avais oublié de le préciser... Et après un deuxième scan il m'a retrouvé le même problème qu'au premier : PMS/FURootkit, alors qu'il dit avoir supprimer le fichier...

Reply

Marsh Posté le 22-03-2005 à 16:25:04    

as tu penser a desactiver la restauration du system ??
clic droit poste de travail/proprietes/restauration du systeme/desactiver la restauration du systeme

Reply

Marsh Posté le 22-03-2005 à 16:25:04   

Reply

Marsh Posté le 22-03-2005 à 16:34:10    

J'ai eu ce virus hier. Va voir ici : http://forum.hardware.fr/hardwaref [...] 4965-1.htm

Reply

Marsh Posté le 22-03-2005 à 16:50:23    

Snip_oX a écrit :

J'ai eu ce virus hier. Va voir ici : http://forum.hardware.fr/hardwaref [...] 4965-1.htm


ah ouais  :pt1cable:  
ca me fait penser qu'effectivement j'ai cliqué sur un lien dans une fenetre msn qui en a ouvert plusieurs fenetre msn hier soir juste avant de me couché, et comme j'étais trop cassé j'ai pas chercher a comprendre et j'ai éteint mon pc  :sleep:  
 
Mais apparement c'est pas tout a fait le même virus je vais voir

Reply

Marsh Posté le 22-03-2005 à 17:51:04    

C'est pas exactement le même virus en fait.
Il y a des symptome similaire sauf que je peu encore accèder aux sites d'antivirus

Reply

Marsh Posté le 22-03-2005 à 21:25:10    

Benzo29 a écrit :

C'est pas exactement le même virus en fait.
Il y a des symptome similaire sauf que je peu encore accèder aux sites d'antivirus


 
 
mais je peu pas scanner mon pc avec l'antivirus en ligne.
 
 
Et j'ai pu lancer HiJackThis en renommant le .exe
 
si vous avez des idées voici le log  :jap:  

Code :
  1. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
  2. R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
  3. O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
  4. O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  5. O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
  6. O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
  7. O4 - HKLM\..\Run: [CplBCL50] C:\Program Files\EzButton\CplBCL50.EXE
  8. O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
  9. O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
  10. O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
  11. O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
  12. O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
  13. O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  14. O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
  15. O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
  16. O4 - HKLM\..\Run: [K!IR.exe] C:\Program Files\K!TV\K!IR.exe
  17. O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  18. O4 - HKLM\..\Run: [adiras] adiras.exe
  19. O4 - HKLM\..\Run: [LSA] lsa.exe
  20. O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
  21. O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
  22. O4 - HKLM\..\RunServices: [LSA] lsa.exe
  23. O4 - HKCU\..\Run: [SpeedswitchXP] C:\Program Files\SpeedswitchXP\SpeedswitchXP.exe
  24. O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
  25. O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
  26. O4 - HKCU\..\Run: [LSA] lsa.exe
  27. O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
  28. O4 - HKCU\..\RunServices: [LSA] lsa.exe
  29. O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
  30. O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
  31. O4 - Global Startup: Pinnacle Scheduler.lnk = ?
  32. O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
  33. O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
  34. O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
  35. O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
  36. O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
  37. O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
  38. O8 - Extra context menu item: Télécharger les tous avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
  39. O8 - Extra context menu item: Téléchargé le site  avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
  40. O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
  41. O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
  42. O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
  43. O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
  44. O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  45. O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  46. O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
  47. O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
  48. O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1409292530
  49. O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
  50. O17 - HKLM\System\CCS\Services\Tcpip\..\{9D8C520D-A190-4624-9FE3-5DFE0312EB1C}: NameServer = 217.19.192.132 217.19.192.131
  51. O17 - HKLM\System\CCS\Services\Tcpip\..\{E3AFA4AE-E156-48AD-8145-EB69432A3C15}: NameServer = 193.252.19.3,193.252.19.4
  52. O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
  53. O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
  54. O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
  55. O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
  56. O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
  57. O23 - Service: Virtual IR COM Port, Service Program (IrCOMM2kSvc) - Jan Kiszka - C:\WINDOWS\system32\ircomm2k.exe
  58. O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
  59. O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
  60. O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
  61. O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\system32\S24EvMon.exe

Reply

Marsh Posté le 23-03-2005 à 10:51:43    

Apparement le virus n'est pas encore recensé...
Le fichier que j'ai du ouvrir se nomme parishilton.scr
N'importe quelle aide serait la bienvenue :(

Reply

Marsh Posté le 23-03-2005 à 11:08:37    

UP

Reply

Marsh Posté le 23-03-2005 à 11:12:14    

Format et réinstalle tout voila y'a pas plus compliqué

Reply

Marsh Posté le 23-03-2005 à 11:16:21    

toc82 a écrit :

Format et réinstalle tout voila y'a pas plus compliqué


ah oui j'y avai pas pensé  :heink:
je m'étais dit benoitement que le fait de résoudre ce problème pourrait eventuellement aider tout ceux qui ont le même problème...


Message édité par Benzo29 le 23-03-2005 à 11:17:25
Reply

Marsh Posté le 23-03-2005 à 12:41:58    

Car c'est certainement la solution la plus simple et la plus sur de formater pour qu'il n'y est pas de résisiantce

Reply

Marsh Posté le 23-03-2005 à 12:55:07    

c'est le virus Chod : regarde là http://forum.hardware.fr/forum2.ph [...] 1#t1502726 otut ou presque y  est indiqué, tu pourras manuellement défaire ce qu'il a fait sur ton pc ;)
 
renomme aussi le regedit pour pouvoir le lancer


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 23-03-2005 à 16:04:33    

ca ressemble a ce virus en effet, mais j'arrive pas à l'enlever, il y a des valeurs du registre genre "DisableRegistryTools" qu'il est sensé modifié et j'ai aucune de ces valeurs dans ma bdr, pareil il est sensé créer certain fichiers, mais chez moi il ne les a pas créé...  
Par contre quand je renomme regedit.exe ou taskmgr.exe hijackthis, je peu les lancer.
Est-ce que ca pourrait avoir un lien avec PMS/FURootkit?

Reply

Marsh Posté le 24-03-2005 à 10:01:49    

heuu question a la con , mais tu as tenté de virer la restauration du systeme sous clic droit sur le poste de travail et reboot en mode sans echecs en mode dos ?
 
WB.


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 24-03-2005 à 12:29:09    

tu as vérifié toutes les clés qu'il modifie (car il en bouge pas mal)? même si tu ne les as pas toutes tu peux en réparer certaines dont celles qui t'empêche de lancer regedit par exemple


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed