[Kill D'APP] Virus ? Autres ? Solution ?

Marsh Posté le 29-03-2005 à 14:33:01

Bonjour à tous,

Alors voila mon prb.
Lorsque je lance mon pc sous windows XP SP1 en mode normal, mon firewal Outpost commence à se lancer puis se coupe automatiquement. En voulant verifier ce qui se lance au demarrage, je tente un "msconfig" .. celui ci ne se lance pas (ou se lance et se coupe trop vite pour etre vu). Lorsque je cherche a lancer le gestionnaire de taches, la fenetre apparait un court instant puis disparait.
En mode sans echec par contre je peux lancer Outpost et "msconfig" et le gestionnaire de taches sans pb.
J'ai passé un antivirus a jour et il a trouvé 2 virus, mais après eradication, tjrs le meme probleme.
Un petit adaware, mais la non plus rien de notable.
Alors voila, j'ai voulu verifier les processus lancés en ligne de commande avec "tasklist" et il ne semble pas y avoir de process louche ... il n'y a que des trucs que je connais et que je souhaite (avec les habituels process win).
Ma question est: quoi qui m'arrive la ?
Pourquoi y a pas de prob en mode sans echec et que en mode normal ca ne marche pas comme il faut (genant qd meme le "pas de firewall" avec un connection ADSL IP fixe) alors que aucun process louche n'est lancé ?
Merci de votre aide et n'hesitez pa à me demander des précisions si jamais il y a besoin.

---------------
Cleric_Reaper

Reply

Marsh Posté le 29-03-2005 à 14:33:01

Reply

Marsh Posté le 29-03-2005 à 14:46:53

et un autre antivirus ?

et un log hijacthis ?
http://forum.hardware.fr/hardwaref [...] 1913-1.htm

le windows est à jour ?

---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse

Reply

Marsh Posté le 29-03-2005 à 15:19:21

C'est bien un virus (je sais plus le nom :??: ), j'ai eu le même sur un portable, essaye un anti-virus online genre ravantivirus, il marche bien.

Sinon il ne fait rien en mode sans échec parceque c'est un exe qui est lancé au démarrage de windows en mode normal, enfin je pense que c'est ca.

PS: regarde voir si tu as pas un exe du style 'jupos.exe'.

---------------
"Je pense qu'avec des 'si' on mettrai une bouteille de butagaz dans le cul de tous les manchots" © LaMite

Reply

Marsh Posté le 29-03-2005 à 16:09:25

Voici mon log Hijacthis en attendant que je verifie pour le virus (mais il em semble pas que ce soit ca car mon msconfig ne m'indique pas que qq chose de bizarre se lance qd je le lance en mode sans echec

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 15:59:50, on 29/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\msnmsgr.exe
C:\WINDOWS\System32\msnmsgr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Samurize\Client.exe
C:\Documents and Settings\Reaper\Bureau\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rfmxohzjcpdavlyffhgfes.org/ [...] 776RX.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qyxhbezwwaxvfmjqit.us/L [...] QuF6I.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [notepad.exe] C:\WINDOWS\site.exe
O4 - HKLM\..\Run: [winlogin.exe] C:\WINDOWS\paint.exe
O4 - HKLM\..\Run: [Adobe] C:\WINDOWS\gam.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKLM\..\RunServices: [Software\\Microsoft\\Windows\\CurrentVersion\\Run] ntvhost.exe
O4 - HKLM\..\RunServices: [Microsoft USB2] mskav32.exe
O4 - HKLM\..\RunServices: [Cleaner] msn.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Security] spvsper.exe
O4 - HKLM\..\RunServices: [HP Deskjet 500] HP_DeskJet_500.exe
O4 - HKLM\..\RunServices: [Windows Sound System] sndsys.exe
O4 - HKLM\..\RunServices: [Win Video Driver] javam.exe
O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\RunServices: [svshost32] svshost32.exe
O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunServices: [svshost32] svshost32.exe
O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - Startup: Client.lnk = C:\Program Files\Samurize\Client.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe

Voila en esperant que cela vous donne des indices ...
Je vais de ce pas verifier pour le virus... au cas ou.

Message édité par Cleric_Reaper le 29-03-2005 à 16:10:07

---------------
Cleric_Reaper

Reply

Marsh Posté le 29-03-2005 à 17:18:31

neo_ a écrit :

C'est bien un virus (je sais plus le nom :??: ), j'ai eu le même sur un portable, essaye un anti-virus online genre ravantivirus, il marche bien.

Sinon il ne fait rien en mode sans échec parceque c'est un exe qui est lancé au démarrage de windows en mode normal, enfin je pense que c'est ca.

PS: regarde voir si tu as pas un exe du style 'jupos.exe'.

A priori pas de virus apres un autre "AVG Free 7" en local et un "secuser" en ligne.
Dc c pas ca je pense

---------------
Cleric_Reaper

Reply

Marsh Posté le 29-03-2005 à 17:42:16

essai dans msconfig de décochet tout les prog du démarrage ainsi que les services non microsoft si ça marche tu les réactive un par un jusqu'à trouver le prog ou service qui fait c***r

Reply

Marsh Posté le 29-03-2005 à 18:05:59

J'ai déjà essayé ca ghostdady, et ca ne change rien, je ne trouve pas de prog ou de service louche, je n'ai qu'un minimum de prog qui se lancent au demarage d'après msconfig et au niveau des services je n'ai que ceux de AVG et OUTPOST en plus des microsofts ...
Je voit pas d'ou ca peut venir.
De plus, je ne peux pas faire de hijacthis en dehors du mode sans echec sans quoi il me ferme la fenetre de hijacthis dès que celle ci tente de s'ouvrir, de la meme facon que pour "gestionnaire de taches" OUPOST et msconfig.
Par contre cela ne le fait pas pour AVG ou adaware .. bizarre non ?
D'autres idées ? Des trucs louches d'après mes logs hijacthis ?

---------------
Cleric_Reaper

Reply

Marsh Posté le 29-03-2005 à 18:14:51

et dans démarrage dans tout "tous les programmes" tu n'as rien???

Reply

Marsh Posté le 29-03-2005 à 18:29:15

Si "msn" et "msn plus" et "AVG" et "OUTPOST"
Mais c tout !
C'est pour ca que je pige pas ce qui se passe.

---------------
Cleric_Reaper

Reply

Marsh Posté le 29-03-2005 à 18:41:27

Cleric_Reaper a écrit :

C:\WINDOWS\System32\msnmsgr.exe
C:\WINDOWS\System32\msnmsgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rfmxohzjcpdavlyffhgfes.org/ [...] 776RX.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qyxhbezwwaxvfmjqit.us/L [...] QuF6I.html
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [notepad.exe] C:\WINDOWS\site.exe
O4 - HKLM\..\Run: [winlogin.exe] C:\WINDOWS\paint.exe
O4 - HKLM\..\Run: [Adobe] C:\WINDOWS\gam.exe
O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKLM\..\RunServices: [Software\\Microsoft\\Windows\\CurrentVersion\\Run] ntvhost.exe
O4 - HKLM\..\RunServices: [Microsoft USB2] mskav32.exe
O4 - HKLM\..\RunServices: [Cleaner] msn.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Security] spvsper.exe
O4 - HKLM\..\RunServices: [Windows Sound System] sndsys.exe
O4 - HKLM\..\RunServices: [Win Video Driver] javam.exe
O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\RunServices: [svshost32] svshost32.exe
O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\RunServices: [svshost32] svshost32.exe
O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe

à fixer

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

très louche à mon avis, essaye d'uploader cette dll sur http://virusscan.jotti.org/

c'est clair que tu as eu pas mal de virus sur ce pc, les 3/4 des lignes 04 à fixer sont juste des résidus. tu ne l'as pas vu car il s'appelle msnmsg.exe mais il est dans system32 et pas comme le vrai dans ProgramFiles\MSMMessenger

vérifie d'abord la dll sur le site de multiscan pour voir ce que c'est

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein

Reply

Marsh Posté le 29-03-2005 à 18:41:27

Reply

Marsh Posté le 29-03-2005 à 18:49:49

Pour reset5.dll visiblement c'est pas un virus, mais bon si jamais je continue a avoir de pb, je vais essayer de la fixer et de virer la dll.
Sinon, je dois virer toutes les lignes que tu m'as indiqué ci-dessus ? Meme ce qui à l'air d'etre le vrai msn ? (pas celui ds system32)
Merci en tout cas pour ces débuts de réponses.

---------------
Cleric_Reaper

Reply

Marsh Posté le 29-03-2005 à 18:56:08

aucune n'est le bon MSN sauf celle là que je n'est pas gardée dans la liste

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

Donc oui tu fixes, puis tu rebootes en mode sans échec et tu vas supprimer tous les mauvais exe qui sont dans ces lignes. Mais je pense que seul msnmsg.exe (dans system32) sera présent. N'oublie pas d'afficher les fichiers cachés et systèmes

revient en mode normal et reposte un log

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein

Reply

Marsh Posté le 29-03-2005 à 19:00:54

Bon alors je vais faire ca, mais il faut savoir que je ne peux faire le log qu'en mode sans echec car sinon en mode normal, la fentre se ferme de suite comme je l'ai expliqué plus haut.
Je vais ca qd meme.
Je vous tiens au courant.

---------------
Cleric_Reaper

Reply

Marsh Posté le 29-03-2005 à 19:02:38

sinon il suffit de renommer hijackthis.exe en trucmachin.exe

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein

Reply

Marsh Posté le 29-03-2005 à 19:13:22

Bon ben ca marche.
Je ne sais pas exactement d'ou venait le pb bien que cela etre le msnmsgr qui était ds system32.
En tout cas, merci bcp pour votre aide a tous et mention spéciale pour toi minipouss !

Reply

Marsh Posté le 29-03-2005 à 19:34:47

de rien

edit: reposte quand même un log en mode normal pour vérifier tout ça

Message édité par minipouss le 29-03-2005 à 19:35:19

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein

Reply

[Kill D'APP] Virus ? Autres ? Solution ?

Sujets relatifs:

Leave a Replay