Déconnections dues a un virus de film X

Marsh Posté le 10-07-2006 à 15:23:43

Voila le titre doit étonné mais bon.

Il y a une semaine environ j'ai voulu télécharger un film sur un site payant légalement et il s'est averé que c'était un film X espagnol, une fois que j'avais fini de le télécharger.
Donc je l'ai supprimé.
Je pense que mon problème vient de là.
Maintenant j'ai une fenètre qui s'affiche au milieu de mon écran (en espagnol) :

Elle s'affiche pendant 2 secondes, et que je clique sur annuler (rifiuto) ou non, 2 secondes après elle se fèrme et orange se deconnecte.
Puis mon firewall me previent qu'un fichier compose le numéro 0 et me demande si je l'autorise.J'ai beau cliquer sur "non" et cocher "retenir cette réponse", tout recommence 2 ou 3 fois par heures depuis hier.

Le voici(j'ai floutté la petite image pour le jeune peuple..) :

Je résume:
1)La 1ère fenêtre qui s'affiche,
2)la déconnection,
3)puis le firewall qui me demande si j'autorise le fichier.

J'ai supprimer les fichiers temporaires(il y en a toujours un qui est impossible a supprimer) fait un nettoyage du disque, une défrag, une analyse anti virus avec bitdefender 8 professional plus, une restauration système, une analyse spybot (contre les spyware), cela continue.

Quelqu'un at-il une solution à pars le formatage ?

Reply

Marsh Posté le 10-07-2006 à 15:23:43

Reply

Marsh Posté le 10-07-2006 à 15:26:47

bonjour

démarrer/rechercher

tape win???32.dll

la recherche doit se faire dans system32 et inclure tous les fichiers

donne le résultat

Reply

Marsh Posté le 10-07-2006 à 15:40:00

Bonjour

Je pense avoir fait ce que t'as dit comme il faut... :

Sinon explique moi plus précisement, je connait rien. (je prévient :s)

Message édité par cactous le 10-07-2006 à 16:08:15

Reply

Marsh Posté le 10-07-2006 à 16:25:05

voilà la suite

edit> j'oubliais, télécharge HijackThis ici http://www.merijn.org/files/hijackthis.zip
dézippe-le sur ton bureau

* tu redémarres en mode sans échec.

* Vide tout le contenu de ce dossier C:\windows\temp puis vide ta corbeille

* démarrer/exécuter, et colle la ligne suivante :

Citation :

regsvr32 /u C:\windows\system32\winjrs32.dll

Valide par entrée, peu importe le message que tu obtiendras.

* Démarrer/exécuter, tape regedit et valide par entrée

rends-toi à la clé suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

supprime la sous-clé nommée "winjrs32", ne supprime rien d'autre, si tu ne la trouves pas, ça ne fait rien.

* Toujours en mode sans échec : lance HijackThis,
"open the misc tool section"
"delete a file on reboot"
-> dans la fenêtre qui s'ouvre, colle ce chemin :
C:\windows\system32\winjrs32.dll
puis clique sur "ouvrir"
Valide le message, l'ordinateur va redémarrer (sinon fais-le toi-même)

ensuite précise où en sont tes problèmes.
As-tu eu des alertes à propos d'un spyware Virtumonde, ou vundo ?

Message édité par eZula le 10-07-2006 à 16:27:17

Reply

Marsh Posté le 10-07-2006 à 17:06:09

Donc j'ai fait tout ce que tu as dis, j'ai redemarré en mode sans echec, lorsque j'ai entrer la citation "regsvr32 /u C:\windows\system32\winjrs32.dll", un message m'a dis que je ne pouvais pas l'ouvrir donc j'ai fait ok.

Ensuite j'ai supprimé la clé "winjrs32" et ses sous-clés.

J'ai lancé HijackThis, mais lorsque je clique sur "delete a file on reboot" aucune fenêtre ne s'ouvre, donc je n'ai pas pu collé le chemin "C:\windows\system32\winjrs32.dll " .

Ensuite j'ai redemarré tout seul...

J'ai eu des alertes d'un "universa" quelque chose comme sa.Et beacoup de trojans interceptés en ce moment.

Message édité par cactous le 10-07-2006 à 17:07:07

Reply

Marsh Posté le 10-07-2006 à 17:10:05

d'accord, ça arrive de temps en temps avec HijackThis, et je ne sais pas pourquoi.

tant qu'il y a ce fichier winjrs32.dll tu auras des soucis avec le dialer

pour y voir plus clair, poste un rapport HijackThis : http://sitethemacs.free.fr/aide_en [...] ackthi.htm

Reply

Marsh Posté le 10-07-2006 à 17:38:00

J'ai directement fait "do a system scan and save a logfile". (j'ai besoin de faire tout ce qu'il y a dans ton lien quand même ?)

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 17:35:26, on 10/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\vsnpstd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\LOIC\LOCALS~1\Temp\Rar$EX01.687\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?Li [...] SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\bdnagent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBE92CF8-A86C-4F57-840C-F2CF275396BC}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: Service Windows Media Connect (WMConnectCDS) - Unknown owner - C:\Program Files\Windows Media Connect 2\wmccds.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Reply

Marsh Posté le 10-07-2006 à 17:47:21

non pas besoin de faire la suite avec HJT, par contre pense à bien le placer ailleurs que dans un dossier temporaire.

télécharge Pocket Killbox http://www.downloads.subratam.org/KillBox.exe
Mets-le sur ton bureau

Ferme tes programmes en cours car l'ordi va rebooter.

Lancer killbox.exe
- Cocher le bouton "Delete on Reboot"
- Coller la ligne ci-dessous, dans la case "Full path of file to delete"
C:\windows\system32\winjrs32.dll
- coche la case "unregister dll before deleting"
- Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

l'ordinateur va redémarrer, sinon fais-le toi-même, quoiqu'il arrive

au redémarrage, supprime le dossier C:\!Killbox et vide le contenu de ce dossier C:\WINDOWS\Temp

=> Précise où en sont les pbs.

Démarrer > Panneau de configuration > Options Internet -> "supprimer les fichiers", "supprimer les cookies", puis poste un rapport Panda

http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

Reply

Marsh Posté le 10-07-2006 à 21:42:16

Petit détail, ton bel écran n'est pas en espagnol mais en "champions du monde"

Forza Italia !!

:jap:

Message édité par ilien83 le 10-07-2006 à 21:45:33

Reply

Marsh Posté le 11-07-2006 à 11:31:43

Voila j'ai tout fait mais pour le rapport panda IE 6 et 7 beta ne marche pas chez moi... donc si je le fais avec mozilla ou le navigateur orange sa pose problème ?

Edit:

Citation :

Minimum requirements
Operating system:
Windows 95/98/Me/NT/2000/XP
RAM:
32 Mb (Win 95/98/Me)
64 Mb (Win NT/2000/XP)
Browser:
Internet Explorer 5.0 or later

Ok... j'ai réinstallé IE; l'installation se déroule parfaitement mais quand j'ouvre une page IE "impossible de trouver la page" ...

Message édité par cactous le 11-07-2006 à 11:34:26

Reply

Marsh Posté le 11-07-2006 à 11:31:43

Reply

Marsh Posté le 11-07-2006 à 13:27:54

salut

non, ça ne marchera pas avec FF

essaye celui-là http://webscanner.kaspersky.fr ("Exécutez l'analyse en ligne" ). Sélectionne "disque local C:\"
Aide : http://support.kaspersky.fr/admin/ [...] inalWS.gif

ou lui

http://www.bitdefender.fr/bd/site/page.php?tab=0#
Clique, en bas à gauche, sur "scan on line (nouveau)"
Accepte ensuite la licence puis laisse-lui installer l'ActiveX
Laisse-toi guider.

Poste le rapport lorsqu'il a terminé.

Reply

Marsh Posté le 11-07-2006 à 15:38:47

-"Le service d'analyse en ligne offert par Kaspersky Lab utilise la technologie Microsoft ActiveX. La technologie Microsoft ActiveX et Kaspersky On-line Scanner ne fonctionnent qu'avec MS Internet Explorer 5.0 ou supérieur."

-"Internet Explorer 4 ou supérieur est requis pour le fonctionnement de l'analyse en ligne."

J'en suis a 4h de connections sans bug, j'ai l'impression que le virus est passé!J'attend de voir quand même...

EDIT:J'avais pas pensé au tout simple...je viens d'aller dans options internet/connexions il y avait "orange" et "dialer'' !!!! J'ai supprimé dialer. Même si apparament,auparavant, sa ne buguait plus pendant 4H de suite, là je pense que c'est fini, sur.

Message cité 1 fois
Message édité par cactous le 11-07-2006 à 15:54:01

Reply

Marsh Posté le 11-07-2006 à 16:21:50

cactous a écrit :

je viens d'aller dans options internet/connexions il y avait "orange" et "dialer'' !!!!

tiens ça c'est bon à savoir.
En principe, lorsqu'on supprime le fichier win???32.dll et sa clé de démarrage, c'est terminé les soucis.

Cependant, un scan en ligne aurait été pas mal. Tu as essayé celui de Bitdefender ? il y a celui-là aussi http://www.ewido.net/en/onlinescan/

Reply

Marsh Posté le 25-07-2006 à 17:33:02

Mon bug n'est plus présent.

Reply

Déconnections dues a un virus de film X

Sujets relatifs:

Leave a Replay