> Tous les forums > Forum Sécurité
 Virus Win32
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
neojul
  Posté le 28/04/2006 @ 09:01 
Aller en bas de la page 
Petit astucien
Bonjour à tous, Quelqu'un sait comment se débarrasser des trojans suivants : - Backdoor.win32.rbot-apd qui a infecté le fichier c:\systeme volume Information\\\_restore(5F......).exe - Backdoor.win32.rbot.ave qui a infecté le fichier c:\windows\systeme32\eapuiycl.exe - Backdoor.win32.rbot.gen qui a infecté le fichier c:\windows\systeme32\winzip.exe (alors que je n'ai pas installé WinZip mais WinRAR sur mon pc !!!) Merci d'avance !
Publicité
somebodyone
 Posté le 28/04/2006 à 09:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

  Bonjour neojul, tu es bien infecté ! ! ! ! . Tu devrais déjà exécuter les consignes de Prénéttoyage d'un PC infecté, pour cela cliques sur le père Fouras en bas à ganche de ce POST. Des spécialistes de ce type d'infection vont venir à ton secours. Il était inutile d'ouvrir un second TOPIC pour cette même infection: https://forum.pcastuces.com/sujet.asp?SUJET_ID=268509  

Modifié par somebodyone le 28/04/2006 09:24
neojul
 Posté le 28/04/2006 à 09:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Ok merci, je vais essayer cette procédure ! Mais c un peu fastidieux non ? Je vais pas effacer des trucs qu'il ne faut pas avec ces logiciels, je peux effacer en toute confiance s'ils trouvent des trucs louches ? Et puis tu crois pas que ce serait plus net si je formater tout, je viens juste de le faire en fait et c en réinstallant tout que j'ai chopé ça, le plus étonnant c que j'ai navigué à peine sur le net et j'avais en plus avast !! Merci PS : Désolé pour l'autre topic, c une erreur !
somebodyone
 Posté le 28/04/2006 à 10:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

  Si tu suis scrupuleusement les consignes données, pas de problème, beaucoup l'ont déjà fait et sans aucun problème, certains logiciels nettoieront automatiquement les MALWARE connus, d'autres les listeront dans les rapports d'analyse que tu fourniras et des consignes te seront données par les spécialistes du nettoyage. Procédure fastidieuse mais efficace et nécessaire, tu risques d'être surpris par ce qui va être découvert.

Modifié par somebodyone le 28/04/2006 10:41
neojul
 Posté le 02/05/2006 à 13:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonjour, J'ai effectué la démarche indiquée, j'ai supprimé des virus je pense et voilà les rapports de ewido et de Hijackthis : ewido anti-malware - Rapport de scan --------------------------------------------------------- + Créé le: 12:59:10, 02/05/2006 + Somme de contrôle: D5E1A523 + Résultats du scan: [1704] C:\WINDOWS\System32\winzip.exe -> Backdoor.Rbot : Nettoyer et sauvegarder [1728] C:\WINDOWS\System32\systemxp.exe -> Backdoor.Rbot : Nettoyer et sauvegarder C:\WINDOWS\system32\eapuiycl.exe -> Backdoor.Rbot.ave : Nettoyer et sauvegarder C:\WINDOWS\system32\ernepu.exe -> Backdoor.SdBot.aho : Nettoyer et sauvegarder C:\WINDOWS\system32\netbtd.exe -> Backdoor.SdBot.aoz : Nettoyer et sauvegarder C:\WINDOWS\system32\systemxp.exe -> Backdoor.Rbot : Nettoyer et sauvegarder C:\WINDOWS\system32\TFTP3332 -> Backdoor.Rbot.awg : Nettoyer et sauvegarder C:\WINDOWS\system32\winzip.exe -> Backdoor.Rbot : Nettoyer et sauvegarder ::Fin du rapport Logfile of HijackThis v1.99.1 Scan saved at 13:00:14, on 02/05/2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Analog Devices\SoundMAX\Smtray.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\LVCOMSX.EXE C:\Program Files\Logitech\Video\LogiTray.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Julien\LOCALS~1\Temp\Rar$EX00.375\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [winsystems25] winsystems.exe O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: NetBTD(ntbtd) (NetBTD) - Unknown owner - C:\WINDOWS\system32\netbtd.exe (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe Merci d'avance !!
neojul
 Posté le 02/05/2006 à 21:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Personne pour déchiffrer mes rapports et me dire quoi faire !! Please !!
Chercheur
 Posté le 02/05/2006 à 23:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour 1 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire. Démarre l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée. 2 Relance un scan HijackThis et coche les lignes ci-dessous : O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [winsystems25] winsystems.exe O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O23 - Service: NetBTD(ntbtd) (NetBTD) - Unknown owner - C:\WINDOWS\system32\netbtd.exe (file missing) Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » 3 Assure toi d'avoir accés à tous les fichiers. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer 4 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK. Dans la liste des services, cherche et sélectionne "NetBTD" / double clique sur la ligne / vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de "C:\WINDOWS\system32\netbtd.exe" / dans Type de démarrage, sélectionne Désactiver / valide la modification. 5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) : C:\WINDOWS\system32\netbtd.exe winsystems.exe --> Probablement dans C:\WINDOWS\system32 ou C:\WINDOWS 6 Lance le nettoyage avec CCleaner. Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. 7 Redémarre normalement et poste un nouveau log HijackThis.
neojul
 Posté le 03/05/2006 à 19:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
J'ai effectué toutes tes manip ! Je te joins le nouveau rapport ! Cependant je suis allé sur le net peu de temps après ces manip et Avast m'a balancé je ne sais pas combien d'alertes encore : virus win32.trojano-bk .... Une page de pub est même apparu lorsque j'étais sur msn, bref ça me saoule tout ça ! Je ne ferais pas mieux de tout écraser ou bien il y a encore des choses à faire pour tout mettre propre ??!!! Rapport : Logfile of HijackThis v1.99.1 Scan saved at 18:57:14, on 03/05/2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Analog Devices\SoundMAX\Smtray.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\LVCOMSX.EXE C:\Program Files\Logitech\Video\LogiTray.exe C:\WINDOWS\System32\winzip.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Julien\LOCALS~1\Temp\Rar$EX00.437\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [AdobeReaderPro] winzip.exe O4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Chercheur
 Posté le 03/05/2006 à 19:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour Démarre le logiciel HijackThis et lance un scan "Do a system scan only". Puis coche les lignes suivantes (dans HijackThis): O4 - HKLM\..\Run: [AdobeReaderPro] WinZip.exe O4 - HKLM\..\RunServices: [AdobeReaderPro] WinZip.exe Ferme toutes les fenêtres Windows, Internet explorer, Outlook, sauf le logiciel Hijackthis et clique sur « Fix checked » Toujours sur Hijackthis > Config >Misc tools > delete a file on reboot. Entre ce chemin: C:\WINDOWS\System32\winzip.exe Redémarre l'ordinateur. Fais une analyse antivirus en ligne sur Kaspersky http://webscanner.kaspersky.fr/ Colle son rapport ici avec un nouveau HijackThis.
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Virus win32/Small.CA !
sujet de mick80 sur virus win32 : dropper-gen
virus win32/ramnit c
virus win32: somoto-j
Win32:Evo-gen Virus ?
PC infecté par le virus Win32/Small.CA
Virus variante de WIN32/spy.zbot.zr
Windows 7 : virus win32/Small.CA
Virus win32/sirefef-GG
Virus win32:Kavos[trj]
virus win32.genericBT impossible a retirer
Plus de sujets relatifs à Virus Win32
 > Tous les forums > Forum Sécurité