Et zut....... virus

10/04-2007 à 01:50Salut,

Bien que je sois relativement prudent (pas assez surement???) je viens de choper une saloperie.

Donc je vais vous exposer mon soucis (en esperant que l'on puisse m'aider , le ciel si il le fallait )

Mon pc de bureau vient de se chopper une salopie (et je pense savoir quand).

Le prob' c'est que je n'arrive pas a m'en defaire mais je voudrais en venir a bout.

Donc mon av est nod 32 à jour.

J'ai un firewall matériel et laissé celui d'xp.

Le truc habituel, l'UC à 100% ect....

Pour l'instant je fais un scan online, j'arrive encore un tout petit peu à surfer.

Bon Bin si pouviez m'aider, je n'ai pas fais de hijack ou un truc comme ça.

Si vous vouliez???

Tout ça pour dire que c'est vraiment Ch*** ce genre de trucs, et ce n'est pas sur des bazards de q hin. (ici je pense, mais pas sur, que c'est lors de l'execution d'un applet java. C'est possible?)

J'espere que mon scan on line va fonctionner.

Donc, Adaware, spybot, a squared.... et vala le resultat....


Pas gai

Edit: Bon bin ça n'a rien donné

Je devrais peut etre faire un rapport "hijack" (ou un truc comme ça) ?

Au pire j'ai fais une sauvegarde mais je sais pas comment faire pour restaurer l'image (avec acronis)

Mauvaise soirée...

Modifie par Modifié par antiproton161 le 1

10/04-2007 à 07:39Salut,

Une simple restauration système en viendra à bout (si toi ou ta bébête ne l'avez pas désactivée bien sûr).
Démarrer > Programmes > Accessoires > Outils système > Restauration du système.

Si la manip fonctionne, il faudra que tu la désactives ensuite (la restau système), elle sera infectée.
Combinaison de touches Windows+Pause > onglet Restauration du système > cocher la case
avant de faire un nettoyage en profondeur de ta bécane avec tous tes outils habituels plus, pourquoi pas, les suivants :

- Stinger http://vil.nai.com/vil/stinger/
- CWShredder http://www.intermute.com/spysubtract/cwshredder_download.html
- AVG anti-spyware (anct. Ewido) http://www.ewido.net/en/download/

Une fois le ménage fait et ton ordi sain, tu pourras réactiver la restau système.

[edit] J'ai oublié de préciser que c'est ainsi que je m'en suis sorti quand il m'est arrivé la même mésaventure (infection par un applet Java).
On ne pense jamais assez à la restau système

Modifie par Modifié par quick  le 10/04/20

----------

10/04-2007 à 08:16

On ne pense jamais assez à la restau système

+1
Avant de s'embarquer dans quoique ce soit d'autre....
Et quand rien n'a marché, essaye ça :

http://fr.trendmicro-europe.com/consumer/housecall/housecall_launch.php

----------
Beethoven était sourd, ça dépasse l' entendement.

10/04-2007 à 10:15Salut,

Merci.

J'avais effectuer une restauration systeme mais oublié de la désactiver lors de mon nettoyage (pas tres malin, je sais )

Ceci dit je viens de recommencer la manip comme expliqué:

Tous les outils que j'ai utilisés me donnent un "ordi sain" .

J'en suis donc à l'analyse on line de trendmicro (restauration désactivée ).

Bon j'attend le resultat en ayant mis un cierge

Merci, en espérant poster à nouveau comme résolu

Quand a ewido, je ne parviens pas a réaliser une analyse complete, il "bloque".

A tchao

edit: 2° analyse proposée par le scan on line...attente...scan ok

Modifie par Modifié par antiproton161 le 1

10/04-2007 à 11:23Bon bin je ne sais plus que faire malgré vos conseils.

Le prob est tjrs là.

Des que je lance un navigateur, mon uc monte a 100%.durant un certain temps.

Pour certaines applications c'est pareil.

Le chargement des pages est extremement lent.

J'ai télecharger hijack et fais une analyse .

Voici le rapport

Logfile of HijackThis v1.99.1
Scan saved at 11:19:10, on 10/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.5.0_11\bin\jucheck.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Pierre\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161014705030
O17 - HKLM\System\CCS\Services\Tcpip\..\{8611FD40-3F8D-4518-9C03-A577441F0FDF}: NameServer = 195.238.2.21,195.238.2.22
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Documents and Settings\Pierre\Mes documents\ewido anti-spyware 4.0\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

Si vous avez une idée, merci d'avance.

Personnelement je ne sais plus que faire.

Edit:

Voici donc ce que j'ai déja fais.

Analyse nod32 qui n'a pu analyser une floppée de fichiers (fichierr verouillés??? normal??)
Ccleaner
Spybot
Ad aware
A squared
Ewido
Analyse on line avec panda et trendmicro (qui ne trouvent rien)

En desespoir de cause, je viens de désinstaller nod32 pour installer avast et lancer une analyse complete en mode sans echec (rien trouvé).

Edit bis: Bon bin c'est reglé, j'ignore le comment du pourquoi, j'ai utilisé les outils que j'avais ainsi que ceux que quick m'avait suggérés (qui ne m'ont rien trouvé??? mais c'est de nouveau ok)

Merci

A tchao

Modifie par Modifié par antiproton161 le 1

10/04-2007 à 13:53

Au pire j'ai fais une sauvegarde mais je sais pas comment faire pour restaurer l'image (avec acronis)

Tu mets le cd de démarrage que tu as créé, tu boot dessus et va chercher ton image, et..... hop là !
Difficile, voire impossible, de faire plus simple

----------
Beethoven était sourd, ça dépasse l' entendement.

11/04-2007 à 08:01

Tu mets le cd de démarrage que tu as créé, tu boot dessus et va chercher ton image

Salut PAZT0245,

Dans mon énervement, c'est ce que j'ai voulu faire.

En bootant sur le cd que j'avais crée, 3 options m'étaient proposées (j'avais l'icône de la fenêtre windows puis deux autres....je ne sais plus exactement lesquelles, fatigue aidant...)

(J'essaye de retrouver sur le net un screen qui te montre ce qui m'était proposé mais je ne trouve rien)

Ne sachant trop ou je m'aventurais et n'étant plus tres "frais" j'ai laissé le prob au lendemain.

Bien m'en a pris..

Merci.

A tchao

Modifie par Modifié par antiproton161 le 1