voila, comment éradiquer totalement ce virus ?
celui-ci est supprimé par l'antivirus (F-secure) mais revient a chaque rédémarage de windows...
 
merci d'avance !

Va voir ce qui se lance au demarrage par MSConfig il doit y avoir un process qui recrée un nouveau fichier infecté et sinon utlise Hijackthis il y a un topic qui explique comment ça fonctionne sur le forum.

Hello,
 
regarde dans ma signature n'oublie pas de désactiver la restauration système sinon ça revient tout seul

 
 
ou es-ce que je trouve "ma signature" ?

avec hijackthis, quel serai les ligne a fixer pour que ce problème ne revienne pas ?

copie/colle le résultat du "save log" ici car il vaut mieux ne pas supprimer n'importe quoi
 
bien joué Darxmurf pour la signature

voila!
 
 
 
Logfile of HijackThis v1.98.2
Scan saved at 10:57:51, on 13/10/2004
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\WINNT\Explorer.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\System32\atiptaxx.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINNT\System32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Mes documents\stinger.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.266\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mutualite.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.pcwebtools.support.hp.com/goto [...] =Buttonwww
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.mutualite.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BCCF23C-E912-4058-96F5-11A93ACCB21E}: NameServer = 194.2.0.20,194.2.0.50
 

rien de ce côté là, tout me semble normal

bon après recherche ça a l'air d'être une saloperie qui se propage uniquement par réseau et port 445. tu es en réseau ou en pc seul? tu as un firewall?

je suis en réseau, un parc de 120 poste donc je te fais pas de dessin... c'est la panique !
je tourne avec F-secure 5.41 mais pas de Firewall...
comment fermer le port 445 ? en faisant netstat -a en msdos, le port 445 ne s'affiche pas ouvert...

là je ne suis pas compétent pour t'indiquer la marche à suivre, désolé. Mais il faut de toute façon vérifier tout les pc pour savoir lesquels sont contaminés car en réseau cela ne passe pas par le port 445 mais par les répertoire partagés il me semble.

si ça peut aider

 
 
 
c'est pas gagné sa...

je l'avoue je suis une burne pour le coup de la signature
 
 

ce qui pourrai m'aider c'est si il existe un logiciel qui permet de détecter un port ouvert sur le réseau... sélectionner le poste et le port rechercher sur le réseau !
 
sa existe ?

? oui ça s'appel un scanner de port et google connais... c'est pour faire quoi ?

pour essayer de voir sur quel poste de mon réseau le port 445 est ouvert afin de pouvoir cesser l'infection avec le backdoor...
tu crois que se logiciel pourrai m'aider a cela ?

bon apparement pour éviter sont retour sur chaque poste, il faut supprimer les clé :
bbah dans le run et le run_service de la base de registre HKEY_LOCAL_MACHINE !

ça veut dire vérifier ça sur chaque poste, c'est pas vraiment automatisé ça

oui vérifier c'est ce que j'ai trouver de mieux pour l'instant...
assez chiant quand le parc n'est pas sur le même site (vpn) !!

Et celui-ci ?? est il correcte ?
 
Logfile of HijackThis v1.97.7
Scan saved at 08:57:20, on 14/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$TRACKIT\Binn\sqlservr.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intuit\Track-It! 6.0 Demo\TIServerServices.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\temp\msbb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\RMClient\PMClient.exe
C:\Program Files\Symantec\pcAnywhere\awrem32.exe
C:\Documents and Settings\Administrateur\Mes documents\informatique\carnet-outlook\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/040C/bl8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mutualite.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/040C/bl7.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/040C/bl8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: SmartNetMonitor for Client.lnk = C:\Program Files\RMClient\PMClient.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Research (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] d18b20a9e6
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.media-motor.net/cabs/downplain.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2B35F32-32CD-4B83-A814-3E12869951F3}: NameServer = 194.2.0.20,194.2.0.50
 

C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
 
spyware connu
 
C:\temp\msbb.exe c'est quoi ça?
 
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe à virer
 
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm je me demande si c'est pas louche ça
 
edit : confirmation msbb.exe est un spyware aussi.

JE VIRE TOPUS SA DONC ?

ouaip

C:\Program Files\Windows SyncroAd\SyncroAd.exe  
C:\Program Files\Windows SyncroAd\WinSync.exe
 
accès refuser a 2 suppresion quand je vais dans le programme files !
 
es-ce normal ?
par contre il ne démarre plus dans regedit !

c'est des cochonneries ça, passe en mode sans echec pour les virer

tu peux , peut etre, éssayer Trojan Remover (6.3) valable 30j gratos ;
 
ensuite il scanne au boot chaque appel à un exe,sys,dll en relation avec une entrée de la BDR
 
mais bon je t'avoue que je n'ai pas reglé mes blemes perso avec non plus mais peut etre dans ton cas il trouvera ?
 
tu valides/vires chaque truc un à un lors du boot; un peu long, mais exhaustif

pense surtout à fermer les processus dans le gestionnaire de tâches avant de tenter la suppression des répertoires

en sans echec j'arrive a supprimer !
 
l'évaluartion en ligne me donne des clés a supprimer je crois...
tel que xinlogon.exe ! faut que je suprime ce genre de fichier ???
 
le virus me bloque mon svchost a 100 % d'utilisation du CPU ! que faire ?

genre moi je sert à rien

 
 
   hello man ! bah si tu trouve des idées fais moi signe...

bah en fait tu passe en sans echec, tu supprime toute les clés de merde ainsi que les fichiers, après tu reboot en normal, tu active un firewall (si ce n'est pas déjà fait) et APRES seulement tu te connecte sur le net... et tu scanne ta machine sur http://housecall.trendmicro.com ou tu suis ma signature...

winlogon son smss.exe sont des trucs inutiles ??

nop laisse les c'est des processus Windows... de toute façon je crois que tu ne peux pas les tuer...

 
 
bon apparement sa fonctionne correctement ! j'espère que sa ne reviendra pas trop vite   !
 
merci bien Darxmurf et minipouss ainsi que les autrezs biensur...

de rien au plaisir

sans problème !

bon, au redémarrage ce matin après une bonne nuit de sommeil Mister backdoor est devenu avec moi !
il reste juste un fichier "MSNMGRR.EXE" du winnt\system32 !
alors que je l'ai supprimer manuellement en mode sans echec !
et si je scanne avec hijackthis et le fix, il ne s'enregistre pas dans le backup ! es-ce une erreur de manipulation de hijackthis ou autre chose ??
 
un ptit coup de main merci !

euh hijackthis est sur le disque dur ou sur un CD ? quand c'est sur un endroit en lecture seule il ne peut pas faire de backup c'est normal.
 
Par contre, t'as un firewall qui protège ta machine ?