344 utilisateurs connectés
un trojan qui désactive antivir [neurone solitaire]
docbenton
le 13 février 2009 à 03h27
salut a tous,
bon, on dirait que j'ai chopé un sale truc.. sanction immédiate ;-|
pas d'acces au mode sans echec... antivir desactive.. installeur de spyware blaster neutralisé...le resident de spybot m'as permis de refuser pas mal de modifs a la registry, mais la tout n'est pas au top...
celle ci je n'arrive pas a la refuser : suppression de la cle system safeboot
un scan spybot est en cours. protowall toujours actif.
je suis piteux ;-|
peut etre que Dede va bien vouloir m'aider ?
merci !
le rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:08:48, on 13/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2900.2180)
Boot mode: Normal
EDITION MODERATEUR : Règle du forum à respecter :
Pas de rapport avant qu'il ne soit demandé !!!
Veuillez lire l'article suivant :
http://forum.telecharger.com/telecharger/securite_virus_et_assimiles/forum_te(...)
Merci d'en prendre connaissance.
bon, on dirait que j'ai chopé un sale truc.. sanction immédiate ;-|
pas d'acces au mode sans echec... antivir desactive.. installeur de spyware blaster neutralisé...le resident de spybot m'as permis de refuser pas mal de modifs a la registry, mais la tout n'est pas au top...
celle ci je n'arrive pas a la refuser : suppression de la cle system safeboot
un scan spybot est en cours. protowall toujours actif.
je suis piteux ;-|
peut etre que Dede va bien vouloir m'aider ?
merci !
le rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:08:48, on 13/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2900.2180)
Boot mode: Normal
EDITION MODERATEUR : Règle du forum à respecter :
Pas de rapport avant qu'il ne soit demandé !!!
Veuillez lire l'article suivant :
http://forum.telecharger.com/telecharger/securite_virus_et_assimiles/forum_te(...)
Merci d'en prendre connaissance.
-->Message édité par docbenton le 20/02/2009 02:56:53<--
répondre
Neuronne Solitaire
le 13 février 2009 à 07h37
Bonjours, Tout abord mettez svp ceci dans votre sujet : un trojan qui desactive antivir [Neuronne solitaire] => ceci pour que je puisse mieux repérer le sujet.
je n'ai pas fait entièrement le tour du rapport, car il y a déjà pas mal de probleme :
* C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
=>Programme non à jour, maintenir ces programmes à jour diminue le risque d'infection.
* C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
* C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exeC:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
* O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
* O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
*O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
*O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
* O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
=>Theme vista qui alourdis le pc pour rien, je vous conseil de le désinstaller.
* C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
* O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
* O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
* O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
*O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)
* O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
* O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
=>Les toolbars alourdissent également le pc pour rien, il faut éviter d'en installer, je vous conseil des les désinstaller.
* O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\cbXOHWQH.dll
* O2 - BHO: C:\WINDOWS\system32\hsfd83jfdg.dll - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hsfd83jfdg.dll
* O4 - HKLM\..\Run: [Pmijace] rundll32.exe "C:\WINDOWS\Wsobalihocimafey.dll",e
*O4 - HKLM\..\Policies\Explorer\Run: [xccinit] C:\WINDOWS\system32\inf\rundll33.exe C:\WINDOWS\xccdf16_090131a.dll xccd16
* O4 - HKCU\..\Policies\Explorer\Run: [settings] C:\WINDOWS\callsysnt.exe
*O20 - Winlogon Notify: cbXOHWQH - C:\WINDOWS\SYSTEM32\cbXOHWQH.dll
*O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
*O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hsfd83jfdg.dll
=> Infection ! A supprimer
Enfin, analysez à nouveau votre pc avec hijackthis puis repostez le rapport.
je n'ai pas fait entièrement le tour du rapport, car il y a déjà pas mal de probleme :
* C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
=>Programme non à jour, maintenir ces programmes à jour diminue le risque d'infection.
* C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
* C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exeC:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
* O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
* O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
*O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
*O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
* O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
=>Theme vista qui alourdis le pc pour rien, je vous conseil de le désinstaller.
* C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
* O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
* O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
* O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
*O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)
* O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
* O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
=>Les toolbars alourdissent également le pc pour rien, il faut éviter d'en installer, je vous conseil des les désinstaller.
* O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\cbXOHWQH.dll
* O2 - BHO: C:\WINDOWS\system32\hsfd83jfdg.dll - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hsfd83jfdg.dll
* O4 - HKLM\..\Run: [Pmijace] rundll32.exe "C:\WINDOWS\Wsobalihocimafey.dll",e
*O4 - HKLM\..\Policies\Explorer\Run: [xccinit] C:\WINDOWS\system32\inf\rundll33.exe C:\WINDOWS\xccdf16_090131a.dll xccd16
* O4 - HKCU\..\Policies\Explorer\Run: [settings] C:\WINDOWS\callsysnt.exe
*O20 - Winlogon Notify: cbXOHWQH - C:\WINDOWS\SYSTEM32\cbXOHWQH.dll
*O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
*O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hsfd83jfdg.dll
=> Infection ! A supprimer
Enfin, analysez à nouveau votre pc avec hijackthis puis repostez le rapport.
-->Message édité par Neuronne Solitaire le 13/02/2009 07:39:42<--
docbenton
le 18 février 2009 à 13h31
bonjour,
merci pour ces conseils avisés, j'ai acheté le pc d'occasion avec les toolbar deja installées.
resultats des dernieres investigations :
apres avoir installé un deuxieme xp sur D: et fait un scan en ligne kaspersky,
j'ai trouvé virut.gen/virut.ce sur de nombreux exes.. et pas que dans program files, mais aussi dans windows.
extrait :
C:\WINDOWS\system32\msg.exe Infecté : Virus.Win32.Virut.ce ignoré
j'ai plusieurs liens (malekal, comment ca marche) qui expliquent comment desinfecter, mais ca necessite l'acces a c: infecté en mode sans echec, que je n'ai pas pour le moment.
1) est-il possible d'enlever virut.gen des exes sans les virer..
si non y'a plus qu'a retramer le systeme.. ce que je veux encore eviter si possible.
2) le mode sans echec plante en blue screen of death,
et en mode normal, un exe infecte prends 99% du cpu ce qui rend toute action quasi impossible. quand on l'identifie, le renomme et quand on redemarre, c'est un autre qui prend le relais apres un certain temps (normal vu que le virus est en memoire, il continue a agir..)
je pourrais m'appuyer sur le scan kaspersky pour renommer les exe infectes afin de rendre le mode sans echec accessible, sous lequel je pourrais executer un desinfecteur de virus.gen ? si trop de fichiers systemes sont casses, le systeme risque de ne plus fonctionner j'imagine.. y'aurait il moyen de les restaurer a partir du cd d'install ?
merci pour votre aide.
merci pour ces conseils avisés, j'ai acheté le pc d'occasion avec les toolbar deja installées.
resultats des dernieres investigations :
apres avoir installé un deuxieme xp sur D: et fait un scan en ligne kaspersky,
j'ai trouvé virut.gen/virut.ce sur de nombreux exes.. et pas que dans program files, mais aussi dans windows.
extrait :
C:\WINDOWS\system32\msg.exe Infecté : Virus.Win32.Virut.ce ignoré
j'ai plusieurs liens (malekal, comment ca marche) qui expliquent comment desinfecter, mais ca necessite l'acces a c: infecté en mode sans echec, que je n'ai pas pour le moment.
1) est-il possible d'enlever virut.gen des exes sans les virer..
si non y'a plus qu'a retramer le systeme.. ce que je veux encore eviter si possible.
2) le mode sans echec plante en blue screen of death,
et en mode normal, un exe infecte prends 99% du cpu ce qui rend toute action quasi impossible. quand on l'identifie, le renomme et quand on redemarre, c'est un autre qui prend le relais apres un certain temps (normal vu que le virus est en memoire, il continue a agir..)
je pourrais m'appuyer sur le scan kaspersky pour renommer les exe infectes afin de rendre le mode sans echec accessible, sous lequel je pourrais executer un desinfecteur de virus.gen ? si trop de fichiers systemes sont casses, le systeme risque de ne plus fonctionner j'imagine.. y'aurait il moyen de les restaurer a partir du cd d'install ?
merci pour votre aide.
docbenton
le 18 février 2009 à 22h24
la suite : bonne nouvelle pour ceux qui tomberaient sur cette discussion via google, kaspersky virus removal tool http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/
desinfecte avec succes les .exe. desinfection en cours..
desinfecte avec succes les .exe. desinfection en cours..
docbenton
le 20 février 2009 à 01h15
bonjour,
apres deblocage de la partition ntfs au moyen de ntfsfix (sur systemrescuecd),
apres redimensionnement de la partition principale avec gparted(systemrescuecd,
j'ai pu creer une autre partition sur lql j'ai installé un autre xp.
apres desinfection de virut.gen via kaspersky avp tool (qui permet de choisir le disque a scanner, j'ai pu recuperer un acces plus normal a la session XP originale, mais toujours pas d'acces au mode sans echec.
j'ai effectué (je peux poster les rapports):
combofix (recherche et elimination fructueuse)
findykill
smitfraudfix
Malwarebytes' Anti-Malware (recherche et elimination fructueuse, ne trouve plus rien)
spybot search S&D (recherche et elimination fructueuse, ne trouve plus rien)
j'ai toujours antivir et windows update bloques.
que pourrais-je faire d'autre ? merci !
apres deblocage de la partition ntfs au moyen de ntfsfix (sur systemrescuecd),
apres redimensionnement de la partition principale avec gparted(systemrescuecd,
j'ai pu creer une autre partition sur lql j'ai installé un autre xp.
apres desinfection de virut.gen via kaspersky avp tool (qui permet de choisir le disque a scanner, j'ai pu recuperer un acces plus normal a la session XP originale, mais toujours pas d'acces au mode sans echec.
j'ai effectué (je peux poster les rapports):
combofix (recherche et elimination fructueuse)
findykill
smitfraudfix
Malwarebytes' Anti-Malware (recherche et elimination fructueuse, ne trouve plus rien)
spybot search S&D (recherche et elimination fructueuse, ne trouve plus rien)
j'ai toujours antivir et windows update bloques.
que pourrais-je faire d'autre ? merci !
docbenton
le 20 février 2009 à 03h03
la suite :
antivir s'execute correctement
acces a windows update ok
il reste quelques comportements bizarres :
je ne vois plus les images dans ie (ex msn.fr), mais je les vois avec firefox
j'entends des bips d'echec de temps a autre, mais sans la dialog box qui va avec
quand je clique sur un raccourci internet (ie est mon navigateur par defaut, oui je sais ca peut s'ameliorer :-), ca me propose de choisir une imprimante...
antivir s'execute correctement
acces a windows update ok
il reste quelques comportements bizarres :
je ne vois plus les images dans ie (ex msn.fr), mais je les vois avec firefox
j'entends des bips d'echec de temps a autre, mais sans la dialog box qui va avec
quand je clique sur un raccourci internet (ie est mon navigateur par defaut, oui je sais ca peut s'ameliorer :-), ca me propose de choisir une imprimante...
PRODUITS
- Portables |
- PC |
- Moniteurs |
- Photo / Vidéo |
- T.V. |
- Audio |
- GPS |
- Stockage |
- Téléphonie |
- autres catégories
TÉLÉCHARGER - LOGICIELS
- Windows & logiciels |
- Bureautique |
- Développement |
- Internet |
- Jeux |
- Loisirs |
- Multimédia |
- Personnaliser son pc |
- Sécurité |
- Utilitaires |
- Logiciels Linux |
- logiciels Mac
JEUX VIDÉOS
- jeux PC |
- Xbox |
- Playstation |
- Wii |
- PSP |
- DS |
- Action |
- Aventure |
- MMORPG |
- Sports |
- Simulation |
- Enfant |
- Soluces et astuces
LOISIRS
01NET PRO
- Réseaux et Internet |
- Programmation et développement |
- Logiciels d'entreprise |
- Systèmes d'exploitation en entreprise |
- Sécurité en entreprise |
- Entreprenariat |
- Emploi |
- Services PRO |
- Matériel PRO
AVIS ET COMMENTAIRES
- Les actualités de 01net. |
- Avis sur les jeux vidéos |
- Avis sur les produits |
- Avis sur les logiciels |
A PROPOS DE 01NET
publicité
Messages des modérateurs
A lire aussi
PRODUITS
- agp desactive
- AGP désactivé
- [RESOLU]Virus ou trojan? - > plutôt problème carte graphique
- Trojan Et problème driver
- gros problème virus ou pas trojan ou pas ...????
TÉLÉCHARGER - LOGICIELS
- Probleme de ligne soit disant desactivé (sans abonnement FT)
- winantivirus pro a antivir pleins de trojan
- trojan avec antivir (résolu)
- un trojan qui désactive antivir [neurone solitaire]
- comment désinstaller avast pour remettre antivir
JEUX VIDÉOS
- spider solitaire sur xp
- Les regles du jeu de solitaire dans windows
- Spider solitaire disparu
- Spider solitaire disparu
LOISIRS
01NET PRO
AVIS ET COMMENTAIRES
- 123 Free Solitaire
- Trojan Remover
- Avira AntiVir Personal Edition - Free
- FairUse, le logiciel qui désactive la protection des vidéos en ligne
- En 2007, le jeu vidéo n’est plus un plaisir solitaire
A PROPOS DE 01NET
 |
 |
> Nouveauté :
Norton 2010 Cette année optez pour une sécurité maximale.
|
 |
||
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Nous contacter
|
Charte de confiance
|
Voir notice légale
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
Tous droits réservés © 1999 - 2009 Internext - 01net.