Suis je infecté par un virus ?
Je vous laisse juger, depuis cet aprem j'ai mon pc qui rame enormement (pls secondes pour naviguer d'une application a une autre, par exemple d'IE a explorer c vachement long). Ensuite je ne peux plus lancer ZoneAlarm, il s'eteind tout seul au bout de qq secondes et pareil pour norton AntiVirus, des que je le lance il se ferme tout seule donc impossible de scanner mon systeme...  
 
J'ai plein de programme dans mon gestionnaire des taches aussi (jsuis sous XP), du genre :
Isas.exe, Isac.exe, Isass.exe, csrss.exe, smss.exe... Enfin y en d'autres comme ca que j'avais jamais remarqué et qui sont dans le SYSTEM en plus mais en faisant une recherche je ne les trouve pas.
 
J'ai rien telechargé ni rien installé de special a priori...
 
Je comprend pas, vous en pensez quoi ?

fais un sacan en ligne de ton hd et tu sauras ..
mais ca ressemble a un virus ouais

Je vais tester ca, je fais une recherche sur google pour trouver un site. C'est lourd ce truc

 
http://www.bitdefender.com/

http://housecall.trendmicro.com/ho [...] t_corp.asp
Je fais la actuellement mais il trouve rien pour le moment Merci en tout cas.
Si c pas un virus c un mystere alors. Note que si je me deconnecte d'internet donc pas moyen qu'un individus se connecte chez moi a priori ben j'ai tjs les meme pb.

regarde dans le gestionnaire de tache et les processus , si tu a pas un svchost.exe qui te bouffe entre 80 et 90 % de temps processeurs ....
si tu as ca , ben c'est un virus

quant à lsass.exe, csrss.exe et smss.exe ce sont des processus systèmes tout à fait normaux.

 
tu as trois procesus Issas.exe, normalement, il y en a qu'un en même temps il me semble. Probable que deux d'entre eux soit des trojan caché derrière ce nom.
J'avais le même genre de symptom avec deux Winlogon.exe lancé en même temps, un dans c\Winnt\systeme32 ( le bon) et l'autre le mauvais dans c\winnt\winlogon.exe lancé au demarage etait en fait un trojan caché du non de rclocal.exe

 
c'est LSASS.EXE

Infos pour se débarrasser de Gaobot (worm du meme type que blaster enfin utilisant la meme faille = serv RPC)
details de l'infection : les AV sont désactivés ou impossible d'ouvrir le soft se referme tt de suite, idem pour regedit et msconfig.
1) Il faut aller ds c:\windows\system32 copier regedt32 sur le bureau, le renommer (ex : regedt32old)
2) le lancer, aller ds la clé hkey local machine\software\microsoft\windows\current version\run regarder si une clé du style "ConfigLoader" correspondant a une valeur portant l'un des noms suivant (liste non exaustive): cart322.exe, csrrs.exe, servicess.exe, svdhost.exe, scvhost.exe, etc...
3) Si oui suppr la clé et faire une recherche sur le nom (cité au dessus) suppr ttes les valeurs y correspondant (mais attention pas les clés !)
4) retourner ds c:\windows\system32 renommer le fichier correspondant au nom trouver ds la BR (ex : cart322), le suppr
5) enfin redémarrer la bécane et verif si le proc n'est plus a 100% et/ou lancer l'AV installer un firewall (ou activer celui de xp, ce qui aurait évité le pb !) et mettre a jour windows.

un chti drapeau  
sebz

 
Il fait que varier mais il est en general autour de 60/70%... (Et il y en a 6 e lancé d'ailleur, 1 seul tourne a 70% et de tps en tps 1 des 5 autres se reveille et tourne a 2/3%... C normal ?)
Le scan online n'a rien donné, en rentrant je vais regarder le truc de Sebz mais ca m'a l'air compliqué
Merci pour votre aide en tout cas, c bizzare quand meme j'ai un antivirus et un firewall (zonealarm) et j'arrive qd meme a me choper un truc.
 
EDIT : Un scanneur de troyan online ca existe ? (Je sais google mais j'aurai pas le tps de regarder avant midi donc je demande au cas ou)

 
Le symptome que tu decris , j'ai eu ca ya une sqemaine , ct un virus , appelé BackDoor.agobot3.gen je te met ici dans la journée ma methode de desinfection , g pas le temps la
 
Mais tu peux deja aller telecharger Kaspersky avec les dernieres updates de virus et l'executer en mode sans echec

Ok merci bcp !
J'ai fait un scan de trojan online et ca n'a rien donné non plus...
Sebz commet savoir si je suis bien infecté par le virus dont tu parles ? Parce que faire tes manip si j'suis pas infécté c ptet embettant non ?

Tiens un nouveau probleme,
je voulais installer un correctif vu sur ce topic :
http://forum.hardware.fr/forum2.ph [...] h=&subcat=
 
Le premier lien, XP FR, ben quand je lance l'installation la fenetre se ferme toute seule au bout de qq secondes (comme Zonealarm ou norton)... ca me gave j'ai trop l'impression que qq'un s'amuse a me fermer les fenetre c super lourd !

Fais scaner un antivirus a jour en mode sans echec sur tout tes hd et tu effaces tout les ichiers qu'il detecte comme etant infectés , ensuite , tu reboote en mode normal , tu va sur http://www.f-secure.com/ et tu vas voir les infos concernant le virus detecte , yaura surement des patch microsoft a telecharger !!
 
C'est ce que j'ai fait et ca a resolu mon probleme

 
Je vais tester ca alors mais ce qui est bizzare c que les scans online n'ont rien donnée...

T'inquiètes Loizo la méthode que je t'ai donné pour suppr le virus ne porte que sur des faux nom de services windows,
exemple :
Vraix : svchost.exe   Faux : scvhost.exe ou svdhost.exe, etc....
donc si tu a l'un de cela (cf mon post) ds la clés "Run" de la BR c'est un virus car les vraix services de windows ne s'y trouvent pas ! tu peux le suppr sans pb, et je te rappel les sympthômes : impossible d'ouvrir l'antivirus (il se referme au bout de qqles secondes) idem pour regedit et msconfig.

Ok super merci bcp je vais le faire.
Parce que la je misere trop en fait, je vous explique.
A midi en partant en cours j'ai lancé norton en mode sans echec, a mon retour il m'avait trouvé 2 trojan different pour 3 fichiers infecté !
Y avait ca :
Backdoor.Trojan  
BO2K.Trojan variant
Je les ai mis en quarantaine et j'ai installé le patch pour xp dont je parlais plus tot. je reboot et bim j'ai tjs les meme probleme, norton se ferme tout seul et tout. Et le pire internet ne marche plus !! Donc la j'suis a mon iut c la galere.
J'ai supprimé les fichiers en quarantaine mais c pareil
 
J'espere que ta methode va marcher, je désespere la, vais faire une recherche sur le net et je rentre tester.  J'ai relancé norton en attendant, on sait jamais si il avait oublié qq'un...
Le pire c que je peux meme pas formater vu que les fichiers infectés etait eparpillé sur tout le disque (sur C: mais D: aussi, j'ai partitionné et windows est sur le C: )

Bon je rentre vais tester ca, j'ai trouvé un truc aussi "Klez" mais faut telecharger fixklez.com et comme j'ai pas acces a internet je risque de galerer...  
Merci tlm, j'essairai de repasser
 
EDIT : Internet remarche si je desinstalle zonealarm (alors qu'il etait pas lancé puisque je peux pas...) et je suis pas infecté par Klez... Je sais pas ou est le pb alors parce que j'ai testé les trucs a Sebz et j'ai rien sauf WindowsFX avec Isac.exe comme valeur mais si je la suprime elle revient des que je reboot
Par contre quand je me deocnnete a internet, immediatement une fenetre de connexion a internet apparait avec ecrit

Bizzare non ?

Un ptit up parce que je desespere la, aucun antivirus ne me detecte un virus et pourtant je vois bien qu'il y a quelque chose qui ne va pas, je comprend rien
 
J'ai vraiment l'impression que c Isas.exe le pb, il est introuvable sur mon pc mais il est ici dans la base de registre :
hkey local machine\software\microsoft\windows\current version\run
Il revient des que je le kill et il prend parfois 50% des ressources processeur voire plus. Il y a un processus en parallele de lui Isass.exe qui ne semble pas poser de pb.
Je galere la vous en pensez quoi ?

Redemarre en mode sans echec avec prise en charge réseau !
Tu pourras installer les patchs, et lancer ce que tu veux normalement. Kill dans le gestionnaire ce que tu peux, et surtout fait un update de Norton !

Norton a ses definitions a jour du 17 decembre donc ca va quand meme.
Et en mode sans echec avec prise en charge réseau j'arrive pas a me connecter a l'adsl
 
Edit : en fait un truc trop bizzare, mes definitions de virus sont detruites, selon norton il dispose de 0 definiton... je ne sais pas depuis qd c comme ca mais bon (vu que l'autre fois il m'avait detecté 3 trojan). Bon bref je vais dl une maj sur le net et je lance une recherche. quelqu'un pourrait m'expliquer cmt me connecter au net en mode sans echec avec prise en charge reseau ? (Quand je double clic sur se connecter rien ne s'ouvre)
 
Edit2 : En fait en mode sans echec sans reseau les definitions sont bien la, j'ai mis a jour avec celle du 18/12 et pareil il ne detecte rien...

http://www.trendmicro.com/vinfo/vi [...] _AGOBOT.DB
 
   1.  Click Start>Run
   2. In the Open input box, type:
      command /c copy %WinDir%\regedit.exe regedit.com | regedit.com
   3. Press Enter. Registry Editor should open.
   4. In the left panel of Registry Editor, double-click to the following key:
      HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
   5. In the left panel, locate and delete the following subkey:
      debug32
   6. Close Registry Editor.
   7. Click Start>Run, then type:
      command /c del regedit.com
 
Terminating the Malware Program
 
This procedure terminates the running malware process from memory.
 
   1. Open Windows Task Manager.Press
      CTRL+SHIFT+ESC, and click the Processes tab.
   2. In the list of running programs, locate the process:
      mdmsv.exe
   3. Select the malware process, then press either the the End Process button.
   4. To check if the malware process has been terminated, close Task Manager, and then open it again.
   5. Close Task Manager.
 
Removing Autostart Entries from the Registry
 
Removing autostart entries from the registry prevents the malware from executing during startup.
 
   1. Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter.
   2. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>Run
   3. In the right panel, locate and delete the entry:
      machine-debugger = "mdmsv.exe"
   4. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>RunServices
   5. In the right panel, locate and delete the entry:
      machine-debugger = "mdmsv.exe"
   6. Close Registry Editor.

http://www.trendmicro.com/vinfo/vi [...] _AGOBOT.DB
 
et maintenant, la traduction:
 
   1. Click Démarrer>executer
   2. dans la fenêtre, taper:
      command /c copy %WinDir%\regedit.exe regedit.com | regedit.com
   3. Presser Enter. La base de registre s'ouvre.
   4. Dans la partie gauche, aller à:
      HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
   5. Dans la partie gauche, Trouver et supprimer la clé suivante:
      debug32
   6. Fermer la base de registre.
   7. Click Démarrer>executer, puis taper:
      command /c del regedit.com
 
Terminating the Malware Program
 
Cette procédure mets fin au virus en mémoire.
 
   1. Ouvrir le gestionnaire de tâches.Presser
      CTRL+SHIFT+ESC, and click sur l'onglet processus.
   2. Dans la liste des processus, localiser:
      mdmsv.exe
   3. Selectionner, puis cliquer fin de processus.
   4. Pour vérifier, fermer le gestionnaire de tache et le rouvrir pour voir si le processus a bien disparu.
   5. fermer le gestionnaire de tache.
 
Enlever le démarrage automatique dans la base de registre
 
   1. Click Démarrer>executer, taper REGEDIT, puis presser Enter.
   2. Dans la partie gauche, aller à:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>Run
   3. Dans la partie droite, supprimer la clé suivante::
      machine-debugger = "mdmsv.exe"
   4. Dans la partie gauche, aller à:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>RunServices
   5. Dans la partie droite, supprimer la clé suivante::
      machine-debugger = "mdmsv.exe"
   6. Fermer la base de registre
 
Tu as peut-être aussi un csrrs.exe (et pas csrss.exe) dans les process
il faut le tuer

ensuite tu lances ton antivirus (à jour bien sûr) pour finir le boulot

Ok merci bcp vais regarder ca
Mais cmt sait tu que je suis infiecté poar ces virus? Car je ne vois pas ces processus, celui qui me semble le plus louche est isas.exe Mais vais tester qd meme
 
Edit : Deja j'ai pas la clé debug32, ca commence mal

salut !
j'avais exactement le même problème que toi, mais idem, pas de clé debug32 ...
mais je viens de résoudre le problème, chez moi, le fautif était lsas.exe (à ne pas confondre avec lsass.exe)
donc, vu qu'il ne voulait pas se fermer
ouverture de la base de registre via la manip au dessus
recherche de lsas.exe
suppression de toutes les clés et valeurs
gestionnaire de taches --> kill lsas.exe
ensuite, je suis allé dans windows/system32 pour supprimer lsas.exe et là, tout à l'air de remarcher
espérons juste que j'arrive à rebooter !

Tu peux lire mon sujet : http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269
 
copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.
Explications en français sur HijackThis
 
http://assiste.free.fr/p/internet_ [...] hijack.php

 
Cool je suis pas tout seul
Bon j'ai reussis a acceder a la base de registre grace a la technique donnée mais la fonction recherche est assez pourrie, il ne me trouve aucun isas.exe pourtant en cherchant a la main j'en ai trouvé un la ou disais Sebz (HKEY.../.../run) donc j'ai deja supprimé lui (d'ailleur quand je rouvre regedit les clé effacé revienne ). Mais quand je fais ctrl alt suppr pour aller dans le gestionnaire des taches je n'arrives pas a killer isas.exe (je clic sur oui et rien ne se passe) donc je ne peux pas le virer de system32 Je vais chercher a mon avis la solution est la !  
quant a HijackThis je m'en occupe juste apres  
Merci bcp
 
EDIT : Yes j'ai reussis a la virer !
En faisait comme m'a dit aliensexfiendn, finalement regedit m'a trouvé les clé et j'ai pu le kill et donc suppr Isas.exe !!!
Bon vais voir si tout remarche maintenant

Yes !!
C bon j'ai reinstallé zonealarm et ca marche, j'ai remis norton aussi vais lancer une recherche de virus la
J'espere qu'apres un reboot j'aurai pu de probleme mais normallement y a pas de raison si j'suis bien protégé (quoique qu'il a qd meme reussis a passer l'autre fois)

 
Voila ce que j'ai obtenu, c quoi qui craint la dedans ? C cool de m'aider, merci

c'est parceque c'était Lsas.exe, et non isas.exe
enfin, le principal, c'est que ça remarche !

 
Ouais je m'en suis rendus compte en copiant collant directement le nom du fichier que j'avais dans Windows/System32 la il m'en a trouvé  
Merci encore J'espere qu'au prochain reboot tout ira bien

Tu as au moins un spyware, msbb
 

Messenger Plus contient le spwyare lop.com, je suppose que tu le sais.
 
Pour supprimer msbb.exe, relance Hijack, coche la ligne en face de msbb et clique sur Fix Checked.
 
Vérifie celui-ci  
 

 
car j'ai lu que cela peut aussi être un virus.
 
X  Divx4 codec  devldr32.exe  Added as a result of an unidentfied VIRUS!
 
Je n'ai pas de devldr32 dans system32 ni dans aucun autre répertoire d'ailleurs (XP Pro SP1).
 
A propos, XP doit mettre des plombes à démarrer chez toi, 20 programmes lancés au démarrage. Mais bon, comme tu n'as rien dit, je suppose que ça ne te dérange pas.

Merci pour la verification
ouais lop.com s'est deja installé 2/3 fois chez moi, je ne savais pas que ca venait de messager plus c une vrai merde ce truc vais le virer direct parce que quand ca se met c trop chiant
 
Vais virer devldr32.exe aussi alors Mieux vaut etre prudent
Edit : Je ne le trouve pas ds la liste de Hijack This mais si j'analyse directement le fichier avec norton il ne me trouve aucun virus. Je le vire qd meme a ton avis ?
 
Sinon nan xp demarre assez rapidement pourtant mais c vrai que j'ai enormement de programme qui se lance au demarrage, mais je ne sais jamais quoi enlever
 
Merci encore

devldr32.exe est pourtant dans ton "coller" de Hijack (du 21/12 à 17h51), regarde bien.
 

 
Mais peut-être qu'il ne tourne plus pour le moment ? Regarde toujours sur Google s'il existe un véritable devldr32 qui serait valide. Regarde la date d'installation du programme, les propriétés de l'exécutable (clic droit -> propriétés -> onglet version).

 
Salut Sebz. Juste pour rectifier ce que tu dis à propos de scvhost.exe
C'est effectivement le nom du programme gérant les services. Les noms qui ressemblent sont des virus mais il se fait que des virus et spyware s'appellent aussi svchost.exe (exactement comme le programme valide).
La seule différence, c'est qu'ils sont ailleurs que dans Windows\system32
Exemples trouvés ici :  
 
http://www.pacs-portal.co.uk/start [...] up_all.php  (La page fait plus de 1 MB !)
 

Si je compte bien, cela en fait 7. Comment les repérer ? Comme je l'ai dit, ils sont ailleurs que dans le répertoire du bon svchost et ils sont lancés au démarrage du PC, aucun scvhost.exe ne doit se trouver dans l'onglet "démarrage" de MSConfig.

 
Ouais c bizzare il ne tourne pas pour le moment on dirait.
Dans l'onglet version j'ai ca  a copyright : Copyright (C) Creative Technology Ltd. 1998-
Ca vient ptet de ma carte son...

Au fait, t'as raison mon pc rame trop au demarrage j'avais jamais remarqué a quel point J'ai viré plein de programme avec msconfig on verra bien si c mieux