Mon pc se comporte bizzarement, virus ?

Mon pc se comporte bizzarement, virus ? - Sécurité - Windows & Software

Marsh Posté le 18-12-2003 à 22:24:13    

Suis je infecté par un virus ?
Je vous laisse juger, depuis cet aprem j'ai mon pc qui rame enormement (pls secondes pour naviguer d'une application a une autre, par exemple d'IE a explorer c vachement long). Ensuite je ne peux plus lancer ZoneAlarm, il s'eteind tout seul au bout de qq secondes et pareil pour norton AntiVirus, des que je le lance il se ferme tout seule donc impossible de scanner mon systeme...  
 
J'ai plein de programme dans mon gestionnaire des taches aussi (jsuis sous XP), du genre :
Isas.exe, Isac.exe, Isass.exe, csrss.exe, smss.exe... Enfin y en d'autres comme ca que j'avais jamais remarqué et qui sont dans le SYSTEM en plus mais en faisant une recherche je ne les trouve pas.
 
J'ai rien telechargé ni rien installé de special a priori...
 
Je comprend pas, vous en pensez quoi ? :sweat:

Reply

Marsh Posté le 18-12-2003 à 22:24:13   

Reply

Marsh Posté le 18-12-2003 à 22:25:32    

fais un sacan en ligne de ton hd et tu sauras ..
mais ca ressemble a un virus ouais

Reply

Marsh Posté le 18-12-2003 à 22:27:41    

Je vais tester ca, je fais une recherche sur google pour trouver un site. C'est lourd ce truc :o

Reply

Marsh Posté le 18-12-2003 à 22:32:49    

loizo a écrit :

Je vais tester ca, je fais une recherche sur google pour trouver un site. C'est lourd ce truc :o


 
http://www.bitdefender.com/

Reply

Marsh Posté le 18-12-2003 à 22:41:30    

http://housecall.trendmicro.com/ho [...] t_corp.asp
Je fais la actuellement mais il trouve rien pour le moment :(:(:( Merci en tout cas.
Si c pas un virus c un mystere alors. Note que si je me deconnecte d'internet donc pas moyen qu'un individus se connecte chez moi a priori ben j'ai tjs les meme pb.


Message édité par Loizo le 18-12-2003 à 22:41:50
Reply

Marsh Posté le 18-12-2003 à 22:42:59    

regarde dans le gestionnaire de tache et les processus , si tu a pas un svchost.exe qui te bouffe entre 80 et 90 % de temps processeurs ....
si tu as ca , ben c'est un virus :)

Reply

Marsh Posté le 18-12-2003 à 23:05:46    

quant à lsass.exe, csrss.exe et smss.exe ce sont des processus systèmes tout à fait normaux.


---------------
Music|Market|Feed|Loom|DVD
Reply

Marsh Posté le 18-12-2003 à 23:15:38    

loizo a écrit :

 
J'ai plein de programme dans mon gestionnaire des taches aussi (jsuis sous XP), du genre :
Isas.exe, Isac.exe, Isass.exe, csrss.exe, smss.exe...  :sweat:  


 
tu as trois procesus Issas.exe, normalement, il y en a qu'un en même temps il me semble. Probable que deux d'entre eux soit des trojan caché derrière ce nom.
J'avais le même genre de symptom avec deux Winlogon.exe lancé en même temps, un dans c\Winnt\systeme32 ( le bon) et l'autre le mauvais dans c\winnt\winlogon.exe lancé au demarage etait en fait un trojan caché du non de rclocal.exe

Reply

Marsh Posté le 18-12-2003 à 23:16:37    

blackbass30 a écrit :


 
tu as trois procesus Issas.exe, normalement, il y en a qu'un en même temps il me semble. Probable que deux d'entre eux soit des trojan caché derrière ce nom.
J'avais le même genre de symptom avec deux Winlogon.exe lancé en même temps, un dans c\Winnt\systeme32 ( le bon) et l'autre le mauvais dans c\winnt\winlogon.exe lancé au demarage etait en fait un trojan caché du non de rclocal.exe


 
c'est LSASS.EXE :jap:


Message édité par Loom the Gloom le 18-12-2003 à 23:16:43

---------------
Music|Market|Feed|Loom|DVD
Reply

Marsh Posté le 18-12-2003 à 23:19:20    

Infos pour se débarrasser de Gaobot (worm du meme type que blaster enfin utilisant la meme faille = serv RPC)
details de l'infection : les AV sont désactivés ou impossible d'ouvrir le soft se referme tt de suite, idem pour regedit et msconfig.
1) Il faut aller ds c:\windows\system32 copier regedt32 sur le bureau, le renommer (ex : regedt32old)
2) le lancer, aller ds la clé hkey local machine\software\microsoft\windows\current version\run regarder si une clé du style "ConfigLoader" correspondant a une valeur portant l'un des noms suivant (liste non exaustive): cart322.exe, csrrs.exe, servicess.exe, svdhost.exe, scvhost.exe, etc...
3) Si oui suppr la clé et faire une recherche sur le nom (cité au dessus) suppr ttes les valeurs y correspondant (mais attention pas les clés !)
4) retourner ds c:\windows\system32 renommer le fichier correspondant au nom trouver ds la BR (ex : cart322), le suppr
5) enfin redémarrer la bécane et verif si le proc n'est plus a 100% et/ou lancer l'AV installer un firewall (ou activer celui de xp, ce qui aurait évité le pb !) et mettre a jour windows.

Reply

Marsh Posté le 18-12-2003 à 23:19:20   

Reply

Marsh Posté le 18-12-2003 à 23:23:34    

un chti drapeau  
:jap: sebz

Reply

Marsh Posté le 19-12-2003 à 07:25:37    

TofClock a écrit :

regarde dans le gestionnaire de tache et les processus , si tu a pas un svchost.exe qui te bouffe entre 80 et 90 % de temps processeurs ....  
si tu as ca , ben c'est un virus :)


 
Il fait que varier mais il est en general autour de 60/70%... (Et il y en a 6 e lancé d'ailleur, 1 seul tourne a 70% et de tps en tps 1 des 5 autres se reveille et tourne a 2/3%... C normal ?)
Le scan online n'a rien donné, en rentrant je vais regarder le truc de Sebz mais ca m'a l'air compliqué :/
Merci pour votre aide en tout cas, c bizzare quand meme j'ai un antivirus et un firewall (zonealarm) et j'arrive qd meme a me choper un truc.
 
EDIT : Un scanneur de troyan online ca existe ? (Je sais google mais j'aurai pas le tps de regarder avant midi donc je demande au cas ou)


Message édité par Loizo le 19-12-2003 à 07:36:20
Reply

Marsh Posté le 19-12-2003 à 08:21:20    

loizo a écrit :


 
Il fait que varier mais il est en general autour de 60/70%... (Et il y en a 6 e lancé d'ailleur, 1 seul tourne a 70% et de tps en tps 1 des 5 autres se reveille et tourne a 2/3%... C normal ?)
Le scan online n'a rien donné, en rentrant je vais regarder le truc de Sebz mais ca m'a l'air compliqué :/
Merci pour votre aide en tout cas, c bizzare quand meme j'ai un antivirus et un firewall (zonealarm) et j'arrive qd meme a me choper un truc.
 
EDIT : Un scanneur de troyan online ca existe ? (Je sais google mais j'aurai pas le tps de regarder avant midi donc je demande au cas ou)


 
Le symptome que tu decris , j'ai eu ca ya une sqemaine , ct un virus , appelé BackDoor.agobot3.gen je te met ici dans la journée ma methode de desinfection , g pas le temps la
 
Mais tu peux deja aller telecharger Kaspersky avec les dernieres updates de virus et l'executer en mode sans echec

Reply

Marsh Posté le 19-12-2003 à 11:50:26    

Ok merci bcp ! :)
J'ai fait un scan de trojan online et ca n'a rien donné non plus...
Sebz commet savoir si je suis bien infecté par le virus dont tu parles ? Parce que faire tes manip si j'suis pas infécté c ptet embettant non ?


Message édité par Loizo le 19-12-2003 à 12:39:00
Reply

Marsh Posté le 19-12-2003 à 12:01:20    

Tiens un nouveau probleme,
je voulais installer un correctif vu sur ce topic :
http://forum.hardware.fr/forum2.ph [...] h=&subcat=
 
Le premier lien, XP FR, ben quand je lance l'installation la fenetre se ferme toute seule au bout de qq secondes (comme Zonealarm ou norton)... ca me gave j'ai trop l'impression que qq'un s'amuse a me fermer les fenetre c super lourd !

Reply

Marsh Posté le 19-12-2003 à 12:43:50    

Fais scaner un antivirus a jour en mode sans echec sur tout tes hd et tu effaces tout les ichiers qu'il detecte comme etant infectés , ensuite , tu reboote en mode normal , tu va sur http://www.f-secure.com/ et tu vas voir les infos concernant le virus detecte , yaura surement des patch microsoft a telecharger !!
 
C'est ce que j'ai fait et ca a resolu mon probleme :)

Reply

Marsh Posté le 19-12-2003 à 13:02:46    

TofClock a écrit :

Fais scaner un antivirus a jour en mode sans echec sur tout tes hd et tu effaces tout les ichiers qu'il detecte comme etant infectés , ensuite , tu reboote en mode normal , tu va sur http://www.f-secure.com/ et tu vas voir les infos concernant le virus detecte , yaura surement des patch microsoft a telecharger !!
 
C'est ce que j'ai fait et ca a resolu mon probleme :)


 
Je vais tester ca alors mais ce qui est bizzare c que les scans online n'ont rien donnée...

Reply

Marsh Posté le 19-12-2003 à 15:51:01    

T'inquiètes Loizo la méthode que je t'ai donné pour suppr le virus ne porte que sur des faux nom de services windows,
exemple :
Vraix : svchost.exe   Faux : scvhost.exe ou svdhost.exe, etc....
donc si tu a l'un de cela (cf mon post) ds la clés "Run" de la BR c'est un virus car les vraix services de windows ne s'y trouvent pas ! tu peux le suppr sans pb, et je te rappel les sympthômes : impossible d'ouvrir l'antivirus (il se referme au bout de qqles secondes) idem pour regedit et msconfig.

Reply

Marsh Posté le 19-12-2003 à 17:57:14    

Ok super merci bcp je vais le faire.
Parce que la je misere trop en fait, je vous explique.
A midi en partant en cours j'ai lancé norton en mode sans echec, a mon retour il m'avait trouvé 2 trojan different pour 3 fichiers infecté !
Y avait ca :
Backdoor.Trojan  
BO2K.Trojan variant
Je les ai mis en quarantaine et j'ai installé le patch pour xp dont je parlais plus tot. je reboot et bim j'ai tjs les meme probleme, norton se ferme tout seul et tout. Et le pire internet ne marche plus !! Donc la j'suis a mon iut c la galere.
J'ai supprimé les fichiers en quarantaine mais c pareil :(
 
J'espere que ta methode va marcher, je désespere la, vais faire une recherche sur le net et je rentre tester.  J'ai relancé norton en attendant, on sait jamais si il avait oublié qq'un...
Le pire c que je peux meme pas formater vu que les fichiers infectés etait eparpillé sur tout le disque (sur C: mais D: aussi, j'ai partitionné et windows est sur le C: )

Reply

Marsh Posté le 19-12-2003 à 18:18:13    

Bon je rentre vais tester ca, j'ai trouvé un truc aussi "Klez" mais faut telecharger fixklez.com et comme j'ai pas acces a internet je risque de galerer... :(  
Merci tlm, j'essairai de repasser :/
 
EDIT : Internet remarche si je desinstalle zonealarm (alors qu'il etait pas lancé puisque je peux pas...) et je suis pas infecté par Klez... Je sais pas ou est le pb alors parce que j'ai testé les trucs a Sebz et j'ai rien sauf WindowsFX avec Isac.exe comme valeur mais si je la suprime elle revient des que je reboot
Par contre quand je me deocnnete a internet, immediatement une fenetre de connexion a internet apparait avec ecrit

Citation :

Vous (ou un autre programme) avez requis des infromations a partir de starx.dynu.com (ou autre, j'ai eu irc2.qqchose aussi). Quelle connexion voulez vous utilisez ?


Bizzare non ?


Message édité par Loizo le 19-12-2003 à 21:25:35
Reply

Marsh Posté le 19-12-2003 à 23:43:10    

Un ptit up parce que je desespere la, aucun antivirus ne me detecte un virus et pourtant je vois bien qu'il y a quelque chose qui ne va pas, je comprend rien :(
 
J'ai vraiment l'impression que c Isas.exe le pb, il est introuvable sur mon pc mais il est ici dans la base de registre :
hkey local machine\software\microsoft\windows\current version\run
Il revient des que je le kill et il prend parfois 50% des ressources processeur voire plus. Il y a un processus en parallele de lui Isass.exe qui ne semble pas poser de pb.
Je galere la vous en pensez quoi ?


Message édité par Loizo le 20-12-2003 à 00:17:13
Reply

Marsh Posté le 20-12-2003 à 01:32:37    

Redemarre en mode sans echec avec prise en charge réseau !
Tu pourras installer les patchs, et lancer ce que tu veux normalement. Kill dans le gestionnaire ce que tu peux, et surtout fait un update de Norton !

Reply

Marsh Posté le 20-12-2003 à 11:24:37    

Norton a ses definitions a jour du 17 decembre donc ca va quand meme.
Et en mode sans echec avec prise en charge réseau j'arrive pas a me connecter a l'adsl :/
 
Edit : en fait un truc trop bizzare, mes definitions de virus sont detruites, selon norton il dispose de 0 definiton... je ne sais pas depuis qd c comme ca mais bon (vu que l'autre fois il m'avait detecté 3 trojan). Bon bref je vais dl une maj sur le net et je lance une recherche. quelqu'un pourrait m'expliquer cmt me connecter au net en mode sans echec avec prise en charge reseau ? (Quand je double clic sur se connecter rien ne s'ouvre)
 
Edit2 : En fait en mode sans echec sans reseau les definitions sont bien la, j'ai mis a jour avec celle du 18/12 et pareil il ne detecte rien...


Message édité par Loizo le 20-12-2003 à 12:41:48
Reply

Marsh Posté le 20-12-2003 à 21:22:08    

http://www.trendmicro.com/vinfo/vi [...] _AGOBOT.DB
 
   1.  Click Start>Run
   2. In the Open input box, type:
      command /c copy %WinDir%\regedit.exe regedit.com | regedit.com
   3. Press Enter. Registry Editor should open.
   4. In the left panel of Registry Editor, double-click to the following key:
      HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
   5. In the left panel, locate and delete the following subkey:
      debug32
   6. Close Registry Editor.
   7. Click Start>Run, then type:
      command /c del regedit.com
 
Terminating the Malware Program
 
This procedure terminates the running malware process from memory.
 
   1. Open Windows Task Manager.Press
      CTRL+SHIFT+ESC, and click the Processes tab.
   2. In the list of running programs, locate the process:
      mdmsv.exe
   3. Select the malware process, then press either the the End Process button.
   4. To check if the malware process has been terminated, close Task Manager, and then open it again.
   5. Close Task Manager.
 
Removing Autostart Entries from the Registry
 
Removing autostart entries from the registry prevents the malware from executing during startup.
 
   1. Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter.
   2. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>Run
   3. In the right panel, locate and delete the entry:
      machine-debugger = "mdmsv.exe"
   4. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>RunServices
   5. In the right panel, locate and delete the entry:
      machine-debugger = "mdmsv.exe"
   6. Close Registry Editor.

Reply

Marsh Posté le 20-12-2003 à 21:33:36    

http://www.trendmicro.com/vinfo/vi [...] _AGOBOT.DB
 
et maintenant, la traduction:
 
   1. Click Démarrer>executer
   2. dans la fenêtre, taper:
      command /c copy %WinDir%\regedit.exe regedit.com | regedit.com
   3. Presser Enter. La base de registre s'ouvre.
   4. Dans la partie gauche, aller à:
      HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
   5. Dans la partie gauche, Trouver et supprimer la clé suivante:
      debug32
   6. Fermer la base de registre.
   7. Click Démarrer>executer, puis taper:
      command /c del regedit.com
 
Terminating the Malware Program
 
Cette procédure mets fin au virus en mémoire.
 
   1. Ouvrir le gestionnaire de tâches.Presser
      CTRL+SHIFT+ESC, and click sur l'onglet processus.
   2. Dans la liste des processus, localiser:
      mdmsv.exe
   3. Selectionner, puis cliquer fin de processus.
   4. Pour vérifier, fermer le gestionnaire de tache et le rouvrir pour voir si le processus a bien disparu.
   5. fermer le gestionnaire de tache.
 
Enlever le démarrage automatique dans la base de registre
 
   1. Click Démarrer>executer, taper REGEDIT, puis presser Enter.
   2. Dans la partie gauche, aller à:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>Run
   3. Dans la partie droite, supprimer la clé suivante::
      machine-debugger = "mdmsv.exe"
   4. Dans la partie gauche, aller à:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>RunServices
   5. Dans la partie droite, supprimer la clé suivante::
      machine-debugger = "mdmsv.exe"
   6. Fermer la base de registre
 
Tu as peut-être aussi un csrrs.exe (et pas csrss.exe) dans les process
il faut le tuer


Message édité par mosquito.killer le 21-12-2003 à 00:25:42
Reply

Marsh Posté le 21-12-2003 à 00:20:37    

ensuite tu lances ton antivirus (à jour bien sûr) pour finir le boulot

Reply

Marsh Posté le 21-12-2003 à 12:08:45    

Ok merci bcp vais regarder ca :)
Mais cmt sait tu que je suis infiecté poar ces virus? Car je ne vois pas ces processus, celui qui me semble le plus louche est isas.exe Mais vais tester qd meme
 
Edit : Deja j'ai pas la clé debug32, ca commence mal :(:(:(


Message édité par Loizo le 21-12-2003 à 12:12:16
Reply

Marsh Posté le 21-12-2003 à 15:13:22    

salut !
j'avais exactement le même problème que toi, mais idem, pas de clé debug32 ...
mais je viens de résoudre le problème, chez moi, le fautif était lsas.exe (à ne pas confondre avec lsass.exe)
donc, vu qu'il ne voulait pas se fermer
ouverture de la base de registre via la manip au dessus
recherche de lsas.exe
suppression de toutes les clés et valeurs
gestionnaire de taches --> kill lsas.exe
ensuite, je suis allé dans windows/system32 pour supprimer lsas.exe et là, tout à l'air de remarcher :)
espérons juste que j'arrive à rebooter ! :p

Reply

Marsh Posté le 21-12-2003 à 15:28:00    

Tu peux lire mon sujet : http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269
 
copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.
Explications en français sur HijackThis
 
http://assiste.free.fr/p/internet_ [...] hijack.php

Reply

Marsh Posté le 21-12-2003 à 17:34:16    

aliensexfiend a écrit :

salut !
j'avais exactement le même problème que toi, mais idem, pas de clé debug32 ...
mais je viens de résoudre le problème, chez moi, le fautif était lsas.exe (à ne pas confondre avec lsass.exe)
donc, vu qu'il ne voulait pas se fermer
ouverture de la base de registre via la manip au dessus
recherche de lsas.exe
suppression de toutes les clés et valeurs
gestionnaire de taches --> kill lsas.exe
ensuite, je suis allé dans windows/system32 pour supprimer lsas.exe et là, tout à l'air de remarcher :)
espérons juste que j'arrive à rebooter ! :p
 


 
Cool je suis pas tout seul :p
Bon j'ai reussis a acceder a la base de registre grace a la technique donnée mais la fonction recherche est assez pourrie, il ne me trouve aucun isas.exe pourtant en cherchant a la main j'en ai trouvé un la ou disais Sebz (HKEY.../.../run) donc j'ai deja supprimé lui (d'ailleur quand je rouvre regedit les clé effacé revienne :(:( ). Mais quand je fais ctrl alt suppr pour aller dans le gestionnaire des taches je n'arrives pas a killer isas.exe (je clic sur oui et rien ne se passe) donc je ne peux pas le virer de system32 :( Je vais chercher a mon avis la solution est la !  
quant a HijackThis je m'en occupe juste apres :jap:  
Merci bcp :)
 
EDIT : Yes j'ai reussis a la virer !
En faisait comme m'a dit aliensexfiendn, finalement regedit m'a trouvé les clé et j'ai pu le kill et donc suppr Isas.exe !!!
Bon vais voir si tout remarche maintenant :p


Message édité par Loizo le 21-12-2003 à 17:43:01
Reply

Marsh Posté le 21-12-2003 à 17:45:59    

Yes !!
C bon j'ai reinstallé zonealarm et ca marche, j'ai remis norton aussi vais lancer une recherche de virus la :)
J'espere qu'apres un reboot j'aurai pu de probleme mais normallement y a pas de raison si j'suis bien protégé (quoique qu'il a qd meme reussis a passer l'autre fois)

Reply

Marsh Posté le 21-12-2003 à 17:51:13    

pgriffet a écrit :

Tu peux lire mon sujet : http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269
 
copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.
Explications en français sur HijackThis
 
http://assiste.free.fr/p/internet_ [...] hijack.php


 

Citation :

Logfile of HijackThis v1.97.7
Scan saved at 17:49:45, on 21/12/2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Messenger Plus! 2\MsgPlus1.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\System32\dslagent.exe
C:\DOCUME~1\Hugues\APPLIC~1\msbb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Navnt\navapw32.exe
C:\PROGRA~1\Navnt\navapsvc.exe
C:\PROGRA~1\Navnt\alertsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\minilog.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\ZONEAL~1.EXE
C:\PROGRA~1\DAP\DAP.EXE
C:\Documents and Settings\Hugues\Bureau\hijackthis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Program Files\DAP\DAPIEBar.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus1.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [msbb] C:\DOCUME~1\Hugues\APPLIC~1\msbb.exe
O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\Navnt\defalert.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus1.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Program Files\Navnt\navapw32.exe
O4 - Global Startup: Protection auto Norton AntiVirus.lnk = C:\Program Files\Navnt\NAVAPW32.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/21b9da9632eb2 [...] 601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{13C2DCC1-CDA3-4A49-97A9-37F4A05CCBE8}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{13C2DCC1-CDA3-4A49-97A9-37F4A05CCBE8}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{13C2DCC1-CDA3-4A49-97A9-37F4A05CCBE8}: NameServer = 80.10.246.130 80.10.246.3
 


 
Voila ce que j'ai obtenu, c quoi qui craint la dedans ? C cool de m'aider, merci :)

Reply

Marsh Posté le 21-12-2003 à 18:44:48    

loizo a écrit :


 
Cool je suis pas tout seul :p
Bon j'ai reussis a acceder a la base de registre grace a la technique donnée mais la fonction recherche est assez pourrie, il ne me trouve aucun isas.exe pourtant en cherchant a la main j'en ai trouvé un la ou disais Sebz (HKEY.../.../run)


c'est parceque c'était Lsas.exe, et non isas.exe ;)
enfin, le principal, c'est que ça remarche ! :)

Reply

Marsh Posté le 21-12-2003 à 20:14:17    

aliensexfiend a écrit :


c'est parceque c'était Lsas.exe, et non isas.exe ;)
enfin, le principal, c'est que ça remarche ! :)


 
Ouais je m'en suis rendus compte en copiant collant directement le nom du fichier que j'avais dans Windows/System32 la il m'en a trouvé :)  
Merci encore :jap: J'espere qu'au prochain reboot tout ira bien :p

Reply

Marsh Posté le 22-12-2003 à 09:23:07    

Tu as au moins un spyware, msbb
 

Citation :


O4 - HKLM\..\Run: [msbb] C:\DOCUME~1\Hugues\APPLIC~1\msbb.exe


Messenger Plus contient le spwyare lop.com, je suppose que tu le sais.
 
Pour supprimer msbb.exe, relance Hijack, coche la ligne en face de msbb et clique sur Fix Checked.
 
Vérifie celui-ci  
 

Citation :

C:\WINDOWS\System32\devldr32.exe


 
car j'ai lu que cela peut aussi être un virus.
 
X  Divx4 codec  devldr32.exe  Added as a result of an unidentfied VIRUS!
 
Je n'ai pas de devldr32 dans system32 ni dans aucun autre répertoire d'ailleurs (XP Pro SP1).
 
A propos, XP doit mettre des plombes à démarrer chez toi, 20 programmes lancés au démarrage. Mais bon, comme tu n'as rien dit, je suppose que ça ne te dérange pas. :D

Reply

Marsh Posté le 22-12-2003 à 13:11:10    

Merci pour la verification ;)
ouais lop.com s'est deja installé 2/3 fois chez moi, je ne savais pas que ca venait de messager plus c une vrai merde ce truc vais le virer direct parce que quand ca se met c trop chiant :D
 
Vais virer devldr32.exe aussi alors :o Mieux vaut etre prudent ;)
Edit : Je ne le trouve pas ds la liste de Hijack This mais si j'analyse directement le fichier avec norton il ne me trouve aucun virus. Je le vire qd meme a ton avis ?
 
Sinon nan xp demarre assez rapidement pourtant mais c vrai que j'ai enormement de programme qui se lance au demarrage, mais je ne sais jamais quoi enlever :/
 
Merci encore ;)


Message édité par Loizo le 22-12-2003 à 13:56:35
Reply

Marsh Posté le 23-12-2003 à 08:40:02    

devldr32.exe est pourtant dans ton "coller" de Hijack (du 21/12 à 17h51), regarde bien.
 

Citation :


C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Winamp\winamp.exe


 
Mais peut-être qu'il ne tourne plus pour le moment ? Regarde toujours sur Google s'il existe un véritable devldr32 qui serait valide. Regarde la date d'installation du programme, les propriétés de l'exécutable (clic droit -> propriétés -> onglet version).

Reply

Marsh Posté le 23-12-2003 à 08:40:38    

Sebz a écrit :

T'inquiètes Loizo la méthode que je t'ai donné pour suppr le virus ne porte que sur des faux nom de services windows,
exemple :
Vraix : svchost.exe   Faux : scvhost.exe ou svdhost.exe, etc....
donc si tu a l'un de cela (cf mon post) ds la clés "Run" de la BR c'est un virus car les vraix services de windows ne s'y trouvent pas ! tu peux le suppr sans pb, et je te rappel les sympthômes : impossible d'ouvrir l'antivirus (il se referme au bout de qqles secondes) idem pour regedit et msconfig.


 
Salut Sebz. Juste pour rectifier ce que tu dis à propos de scvhost.exe
C'est effectivement le nom du programme gérant les services. Les noms qui ressemblent sont des virus mais il se fait que des virus et spyware s'appellent aussi svchost.exe (exactement comme le programme valide).
La seule différence, c'est qu'ils sont ailleurs que dans Windows\system32
Exemples trouvés ici :  
 
http://www.pacs-portal.co.uk/start [...] up_all.php  (La page fait plus de 1 MB !)
 

Citation :


X  microsoft  svchost.exe  Added as a result of the {ASTEF} or {RESPAN} VIRUSES! Note - this is not the valid svchost.exe as described {here}
X  PowerManager  Svchost.exe  Added as a result of the {JEEFO} VIRUS! Note - this is not the valid svchost.exe as described {here}
U  Srv32Win (2)  Svchost.exe  {Realtime-Spy} keylogger (monitoring program). Given a "U" recommendation because it depends if you intentionally installed it. If you didn't treat it as "X" and uninstall or remove
X  SVCHOST (2)  svchost.exe  System1060 homepage hi-jacker. Found in a Windows\System\1060 directory. Note - this is not the valid svchost.exe as described {here}
X  svchost (3)  svchost.exe  Added as a result of the {MORB} VIRUS!. This is not the valid svchost.exe as described {here}. Located in the Windows directory, and not in Windows/System(32)
X  SystemReg (2)  svchost.exe  Added as a result of the {DEWIN.E} VIRUS! Note - this is not the valid svchost.exe as described {here}
X  WindowsUpdate (2)  svchost.exe  Added as a result of the {ASTEF} or {RESPAN} VIRUSES! Note - this is not the valid svchost.exe as described {here}


Si je compte bien, cela en fait 7. Comment les repérer ? Comme je l'ai dit, ils sont ailleurs que dans le répertoire du bon svchost et ils sont lancés au démarrage du PC, aucun scvhost.exe ne doit se trouver dans l'onglet "démarrage" de MSConfig.

Reply

Marsh Posté le 23-12-2003 à 09:55:13    

pgriffet a écrit :

devldr32.exe est pourtant dans ton "coller" de Hijack (du 21/12 à 17h51), regarde bien.
 

Citation :


C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Winamp\winamp.exe


 
Mais peut-être qu'il ne tourne plus pour le moment ? Regarde toujours sur Google s'il existe un véritable devldr32 qui serait valide. Regarde la date d'installation du programme, les propriétés de l'exécutable (clic droit -> propriétés -> onglet version).


 
Ouais c bizzare il ne tourne pas pour le moment on dirait.
Dans l'onglet version j'ai ca  a copyright : Copyright (C) Creative Technology Ltd. 1998-
Ca vient ptet de ma carte son...

Reply

Marsh Posté le 23-12-2003 à 13:37:17    

Au fait, t'as raison mon pc rame trop au demarrage j'avais jamais remarqué a quel point :D J'ai viré plein de programme avec msconfig on verra bien si c mieux :p

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed