Virus étrange

21/06-2005 à 11:31attention, dans la liste ce sont des processus windows. L'astuce pour que les cochonneries en .exe se fondent dans la masse c'est de reprendre un un fichier en .dll et de donner le même nom avec une extension en .exe.
Il peut aussi y avoir deux fichiers en .exe qui tournent en même temps mais l'un d'entre eux n'est pas à sa place (le bon est à une place bien définie dans l'arborescence).
Spybot repère certains .exe: faire trés attention car certains fichiers repérés ne sont pas des parasites, il peut y avoir des erreurs de jugement de la part de spybot, faire une recherche sur le net pour confirmer.
Tu peux également essayer de différentier les processus utilisateur et système.
Pas facile de faire le tri: un conseil, recherche sur le net des information sur un processus si tu as un doute.
http://www.inoculer.com/processus.php3
http://ohyest.free.fr/Report%2026%2009%2004.htm
http://www.actualresearch.fr/spynames.php

21/06-2005 à 11:35ok..
j'ai simplement coché ce qui semblait "méchant" sur le Hijack, cela concerne uniquement des exécutions internet et un programme mediaaccess qui semble très mauvais, il me semble que je peux réparer tout ça, mais que faudra-t-il faire ensuite ?

21/06-2005 à 11:50je ne sais pas trop !
une première chose à faire avant de refaire un contrôle est de toujours effacer les coockies, le cache internet et l'historique. Il y aura moins de chose à repérer. En suite tu repasse un coups d'antispyware (je n'ai jamais utilisé hijack) et on voit où tu en est (pas facile ce genre de chose à distance!)

21/06-2005 à 11:53oui je suis d'accord pas facile..
surtout que ma journée a déjà assez difficilement commencé comme ça mais bon..je tente!

21/06-2005 à 12:10alors, j'ai juste lancé Adaware, 10 objets trouvé, supprimés ss pb, et j'avais auparavant effacé les cookies.
pr le moment, rien de nouveau, je consulte ma tasklist! y'a tjrs des svchost en pagaille qui tournent, des csrss ou smss mais apparamment ils font partie du système, je n'ai rien supprimé qui aurait pu me sembler inconnu donc..
c koi ces histoires de disquettes de reboot avec anti-virus?
parce que si sur mode sans echec le scan ne fonctionne tjrs pas, comment faire?
je retente en ss échec et je vous dis.
en tt cas merci, c très gentil de m'aider!

21/06-2005 à 13:19Même en mode sans échec mon a² n'a pas fonctionné : il a scanné jusque 28000 fichiers en ayant trouvé 24 malwares mais a planté!
J'ai eu juste le temps d'apercevoir une milliseconde un écran bleu avec du texte en blanc (j'ai même cru lire une phrase avec "désactivez" je ne sais quoi), et impossible donc de supprimer ces programmes malveillants!

quelle peut bien être la solution de tout ça d'après vous ?

21/06-2005 à 13:29regarde si ça peut te convenir (suivre les liens).

21/06-2005 à 13:30le lien :
http://framasoft.net/article93.html

21/06-2005 à 14:10Si A2 ne fonctionne pas , fais un essai avec Spybot http://www.spybot.info/fr/index.html

@+

----------
C'est pas toujours facile !
[URL=http://www.casimages.com][/URL]

21/06-2005 à 14:53ok, je vais tenter tout ça, et je vous dis quoi.. c un peu serré car je pars en répét pr la fête de la musique, mais je vais lancer tout ça! merci!

21/06-2005 à 14:56hum..pr le reboot disk, c "coming soon" pour windows Xp..

28/06-2005 à 12:18salut les gars

je croix que je me suis emballé un peu vite pour mon pb, voir + haut !!
en fait, c mon allume qui etait super crade, je l'ai netoyé et pour le moment il ne s'arret plus. Je vais essayé une analyse AV en ligne.

@+

----------
En 2008 ..... Je vais essayer de tenir mes Bonnes résolutions, ET VOUS ???

28/06-2005 à 18:48le plus simple vu les essais c'est de sauver les dossiers personnels et reformater

----------

01/07-2005 à 14:18Alors voici des nouvelles :
avast a scanné, j'ai détruit un trojan et d'autres virus, mais il me reste des fichiers que j'hésite à supprimer ou restaurer, dont les icônes sont celles dites de "système de fichier" les noms sont :
kernel32.dll
winsock.dll
wsock32.dll

les connaissez-vous ?
ou dois-je reinstaller carrément windows ?
ju*

01/07-2005 à 15:17b'jour
Normalement ce sont bien des dll Système (une petite recherche Google t'en dira plus simplement)

Est-ce que tu as encore des problèmes quelconques ? Je voulais regarder ton log Hijack mais il n'est plus sauvegardé - tu pourrais le relancer et copier/coller le log ici stp?

- Le mettre dans 1 dossier : C:\HijackThis (très important de l'enregistrer de cette façon)
- Le lancer -> Scan -> Save log
- Récupérer ce log/texte avec le bloc-notes
- Le copier/coller ici (si tu veux )

01/07-2005 à 15:28kernel32.dll j'en ai quatre dans le PC
Winsock.dll et wsock32.dll recherche rien donné
d'autres feront une recherche

----------

01/07-2005 à 15:44

kernel32.dll j'en ai quatre dans le PC
Winsock.dll et wsock32.dll recherche rien donné

rien donné??

kernel32.dll
Le processus kernel32.dll (kernel32.dll signifiant Windows Kernel Process) est un processus générique de Windows NT/2000/XP constituant le noyau de Windows et servant à gérer la mémoire, les ressources système et les processus légers (threads) de Windows.
http://www.commentcamarche.net/processus/kernel32-dll.php3

What Is winsock.dll?
WINSOCK.DLL is a dynamic-link library that provides a common application programming interface (API) for developers of network applications that use the Transmission Control Protocol/Internet Protocol (TCP/IP) stack.
http://support.microsoft.com/default.aspx?scid=kb;en-us;122928
http://www.liutilities.com/products/wintaskspro/dlllibrary/winsock/

wsock32.dll/WinSock API Library

Part of: Windows Sockets
http://www.processlibrary.com/directory/files/wsock32/
..The library file wsock32.dll, is required by windows and is used by applications when performing TCP/IP network communication. If wsock32.dll is unavailable, your pc will become unstable as network methods (even if not used) are present in a large number of applications...
http://www.auditmypc.com/process/wsock32.asp

01/07-2005 à 15:50ok, j'envoie mon log, mais finalement, je les restaure ces dits fichiers ?

01/07-2005 à 15:51 euh! si tu les as supprimés et encore dans la corbeille, il vaudrait mieux, en effet!

01/07-2005 à 15:56alors voilà :

Logfile of HijackThis v1.99.1
Scan saved at 15:54:55, on 01/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Trend Micro\Internet Security\pccguide.exe
C:\Program Files\Trend Micro\Internet Security\PCClient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Reality Fusion\Reality Fusion GameCam SE\Program\RFTRay.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRAM FILES\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\fr\msntb.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVCOMS] C:\WINDOWS\System32\LVCOMS.EXE
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Lw72RQc9W] shsfyuv.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25D1B979-4E01-4292-BD35-21E23D2ECE3A}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe



-----------------
ça dit quoi exactement ? :) ju*