dératisation de mon pc svp
dératisation de mon pc svp - Sécurité - Windows & Software
Marsh Posté le 01-09-2004 à 13:20:08
Télécharger "HijackThis" sur:
http://www.lurkhere.com/~nicefiles/index.html
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.
Marsh Posté le 01-09-2004 à 13:26:50
pour ta modif de page de démarrage sous IE, telecharge un adaware ou seek&destroy (de memoire) tu les lance et tes petits ennuis de page de démarrage seront normallement finis,
pour ce qui est de inet : a mon avis adawere et ses petits copains vont s'en occuper, sinon
base de registre et retirer toutes les clé relative a inetg tout comme tout fichiers dans le c:
sinon un bon petit firewall type kerio, avec un bon petit fichier de config ne laisserais pas passer ce genre de prog avec un bon antivirus aussi a propos.
si pb n'hesite pas a nous contacter.
Marsh Posté le 01-09-2004 à 13:35:12
| bm59 a écrit : adaware ou seek&destroy ...adawere... si pb n'hesite pas a nous contacter. |
Voilà. Tu peux tenter "adawere" et "seek&destroy"... 
Mais à mon avis, il vaut mieux poster un HijackThis.
Marsh Posté le 01-09-2004 à 17:56:01
merci, j'ai de toute façon fait adware & regcleaner, un scan total de mes DD
je vais faire l'hijack tiens, je connais pas, on va voir
merci
Marsh Posté le 01-09-2004 à 17:59:45
bon j'ai fait, il trouve pas mal de trucs mais pour le save log, bardaf! un virus dans le dossier hijack.log, çà a pas l'air de sauver le log
Marsh Posté le 01-09-2004 à 18:00:54
virus: MHTMLredir.Exploit dans mon fichier hijack/log ! comprend pas
Marsh Posté le 01-09-2004 à 18:02:46
Quand tu as cliqué "Scan", ça dure qq secondes et il y a un bouton "Save Log". Tu le cliques.
Attention!!! ce qu'il affiche, ce ne sont pas des virus ou malwares! Il fait en qq sorte un résumé de ce qui se charge sur ton ordi, aussi bien bon que mauvais.
Marsh Posté le 01-09-2004 à 18:04:50
je sais, mais la sauvegarde du log déconne, il me dit qu'il peut pas sauver car "un disque" n'est pas présent (alors que je sauve sur 1DD!)
Marsh Posté le 01-09-2004 à 18:07:23
les tutos c'est bon, mangez z'en : http://forum.hardware.fr/hardwaref [...] 1265-1.htm
---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Marsh Posté le 02-09-2004 à 12:07:33
bonjour
c toujours pas réglé complètement
en fait, j'ai un blème avec tout fichier qui s'ouvre au blocnotes (comme j'ouvre par ex les fichiers ifo)
depuis le hijack, j'ai un fichier log sur le bureau, imposs à supprimer, il veut pas & en+ il m'annonce le virus MHTMLexploit.dir ( http://securityresponse.symantec.c [...] ploit.html )
comment je vire 7saleté moa svp ? (et je vais récupérer usage du blocnotes ? çà se DL qqpart çà, ce bete bn ?)
Message édité par lazarusbf le 02-09-2004 à 12:07:55
Marsh Posté le 02-09-2004 à 14:31:02
| lazarusbf a écrit : bonjour |
Salut,
j'ai eu un pb identique, infection détécté par plein de soft, mais aucun n'arrivait a la virée !!
j'ai trouvé ça (en eng) :
http://forums.spywareinfo.com/inde [...] opic=11236
c un peu compliqué, mais ça a super bien marché pour moi !
Message édité par realder le 02-09-2004 à 14:31:35
Marsh Posté le 02-09-2004 à 19:14:13
je ne sais PLUS faire de hijack, mon scan log est infecté direct sinon
impasse
Marsh Posté le 02-09-2004 à 22:32:27
Une analyse en ligne, c'est possible?
Par exemple ça:
Antivirus en ligne :
http://www.ravantivirus.com/scan/
Cliquer sur : To continue without subscribing click here
Le laisser charger ses ActiveX ( Une dizaine de minutes). Lorsque "ready" est affiché dans "status"
cocher "Autoclean", puis cliquer "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici.
Marsh Posté le 03-09-2004 à 02:09:14
Scan started at 3/09/2004 1:16:11
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\Winad Client\ClientCom.dll - TrojanDownloader:Win32/Winupdt.A -> Suspicious
C:\WINDOWS\Downloaded Program Files\belgio_ver3.ocx - Clicker:Win32/Adpower.D -> Infected
C:\WINDOWS\Downloaded Program Files\on-line.exe - Trojan:Win32/Dialer.CE -> Suspicious
C:\WINDOWS\system32\ATPartners.dll - TrojanDownloader:Win32/Rameh.C -> Infected
C:\WINDOWS\system32\c17b6s.dll->(UPXW) - TrojanDropper:Win32/Small.GV -> Infected
D:\Mes Documents\UTILITAIRES\photoshop7.0\Photoshop 7beta\sleeping cat 1.eml - Win32/Nimda.eml -> Suspicious
D:\Mes Documents\UTILITAIRES\photoshop7.0\Photoshop 7beta\sleeping cat 1.eml->(part0000
->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected
D:\Mes Documents\UTILITAIRES\photoshop7.0\Photoshop 7beta\SVG\count.eml - Win32/Nimda.eml -> Suspicious
D:\Mes Documents\UTILITAIRES\photoshop7.0\Photoshop 7beta\SVG\count.eml->(part0000->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected
D:\Mes Documents\UTILITAIRES\photoshop7.0\Photoshop 7beta\Box Shots\xiaxi 2.eml - Win32/Nimda.eml -> Suspicious
D:\Mes Documents\UTILITAIRES\photoshop7.0\Photoshop 7beta\Box Shots\xiaxi 2.eml->(part0000->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected
Scanned
============================
Objects: 47807
Directories: 3448
Archives: 1200
Size(Kb): -825842
Infected files: 6
Found
============================
Viruses found: 4
Suspicious files: 5
Disinfected files: 0
Mail files: 340
Marsh Posté le 03-09-2004 à 02:11:46
File: C:\Program Files\Winad Client\ClientCom.dll
Virus: TrojanDownloader:Win32/Winupdt.A Status: Suspicious
File: C:\WINDOWS\Downloaded Program Files\belgio_ver3.ocx
Virus: Clicker:Win32/Adpower.D Status: Infected
File: C:\WINDOWS\Downloaded Program Files\on-line.exe
Virus: Trojan:Win32/Dialer.CE Status: Suspicious
File: C:\WINDOWS\system32\ATPartners.dll
Virus: TrojanDownloader:Win32/Rameh.C Status: Infected
File: C:\WINDOWS\system32\c17b6s.dll->(UPXW)
Virus: TrojanDropper:Win32/Small.GV Status: Infected
File: D:\Mes Documents\UTILITAIRES\photoshop7.0\Photoshop 7beta\sleeping cat 1.eml
Virus: Win32/Nimda.eml Status: Suspicious
File: D:\Mes Documents\UTILITAIRES\photoshop7.0\Photoshop 7beta\sleeping cat 1.eml->(part0000->(IFRAME0000)
Virus: HTML/IFrame_Exploit* Status: Infected
File: D:\Mes Documents\UTILITAIRES\photoshop7.0\Photoshop 7beta\SVG\count.eml
Virus: Win32/Nimda.eml Status: Suspicious
File: D:\Mes Documents\UTILITAIRES\photoshop7.0\Photoshop 7beta\SVG\count.eml->(part0000->(IFRAME0000)
Virus: HTML/IFrame_Exploit* Status: Infected
File: D:\Mes Documents\UTILITAIRES\photoshop7.0\Photoshop 7beta\Box Shots\xiaxi 2.eml
Virus: Win32/Nimda.eml Status: Suspicious
File: D:\Mes Documents\UTILITAIRES\photoshop7.0\Photoshop 7beta\Box Shots\xiaxi 2.eml->(part0000->(IFRAME0000)
Virus: HTML/IFrame_Exploit* Status: Infected
Marsh Posté le 03-09-2004 à 18:26:24
Oki. Les 2 rapports sont à peu près concordants.
Il y a 2 cas :
-------------------------1
Pour ceux de "Downloaded Program Files" que tu ne trouveras pas par l'explorateur:
Télécharge "PocketKillBox" sur :
http://download.broadbandmedic.com/
Pose-le sur ton bureau. Lance-le.
Dans "Paste full path of file.." ->copie/colle: C:\WINDOWS\Downloaded Program Files\belgio_ver3.ocx
Tu peux le faire avec cette fenêtre ouverte, ce sera plus pratique pour le copier/coller.
Clique "Delete File". (La croix blanche)
------------------
Recommence pour:
C:\WINDOWS\Downloaded Program Files\on-line.exe
------------------
Supprime par l'explorateur le dossier: c:\!Submit (ce sont ses backups)
------------------------------2
Pour les autres, une seule solution: y aller et les supprimer.
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
Et supprime les fichiers signalés.
Ps : pour celui-ci:C:\Program Files\Winad Client\ClientCom.dll
supprime franchement le dossier C:\Program Files\Winad Client.
Marsh Posté le 03-09-2004 à 19:27:40
ok merci je vais faire çà ce soir, super Ac@ de ton aide
je dirai koi tantot ou demain
Marsh Posté le 03-09-2004 à 21:08:01
étape1 faite, y a juste que je trouve pas le C
!submit, il doit ê ailleurs je suppose
le 2 je fais tantot ou demain :-)
Marsh Posté le 03-09-2004 à 21:12:03
qd je regarde dans Cwindows/downloadedprogramfiles, j'ai un fichier VacPro.belgio_ver3 (icone ke je connais pas, feuille blanche avec 3-4cubes colorés jaune rouge bleu), je le vire ?
Marsh Posté le 03-09-2004 à 23:04:22
Oki. Tu penses à vider la corbeille, puis faire une analyse de vérif.
Marsh Posté le 04-09-2004 à 13:04:40
bon, par ex dans cwindows/downl.../ j'ai une clé(?) qui a ces propriétés : ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM:sp.exe
C une crasse je suppose, j'enlève ?
ps. pffff quand je clique sur EDITER (ce message par ex) j'ai une alerte virale encore MHTMLRedir.exploit 
Message édité par lazarusbf le 04-09-2004 à 13:12:55
Marsh Posté le 04-09-2004 à 13:06:31
je suis aussi en train de recommencer le scan RAV, il est en cours, je vois déjà qu'il trouve encore :
C:\!Submit\belgio_ver3.ocx - Clicker:Win32/Adpower.D -> Infected
C:\!Submit\on-line.exe - Trojan:Win32/Dialer.CE -> Suspicious
mais je trouve pas ce submit dans C: / oukilè ???
Message édité par lazarusbf le 04-09-2004 à 13:07:05
Marsh Posté le 04-09-2004 à 13:16:59
Il y est fatalement.
C'est là que KillBox met les fichiers en cas d'erreur ou de doute.
Marsh Posté le 05-09-2004 à 16:15:51
salut à toi lazarusbf,
bon j'ai eu le même probleme que toi avec ce put*** de "inetg\services.exe".
Je ne pense pas que c'soit un virus mais plus un cadeau d'Bill avec ces put*** d'mises à jour.
C'est pour ça qu'rien n'le detecte: ni anti-virus, ni logiciels comme (ad-aware, pcBug Doctor, ou Spybot) et qu'un firewall ne peut rien non plus (si tu permets les mises à jour automatique)
J'ai fait "regedit.exe" dans "executer"...j'ai viré toutes les clés contenant "inetg". (mais ça servi à rien j'pense)
puis j'ai fais "msconfig.exe" toujours dans "executer"...
tu vas à démarrage et là tu vois que "services.exe" apparait 3 fois...
tu les coches puis tu redemarres...
tu vas dans "windows\inetg\" puis tu vires ce put*** d'dossier...et là il se casse.
En ce qui concerne Bloc notes...j'ai eu un pb une fois...il n's'ouvrait plus...
Il suffit d'effacer le lien foireux dans "démarrer->tous les programmes->accessoires->Bloc notes"...d'ailleurs son icone a dû changer tu verras...
Puis tu vas dans "C:\windows\NOTEPAD.exe"...recréer le raccoursi que t'as effacé puis de prendre un .txt et de cliquer droit pour toujours l'ouvrir avec Bloc Notes.
voilà, j'espère que ça t'aideras.
En tout cas moi je n'ai plus de Pb avec ce inetg.
a+
Marsh Posté le 05-09-2004 à 16:19:06
Un cadeau de Bill? 
Il est bien connu ce inetg:
http://www.trendmicro.com/vinfo/vi [...] J_SMALL.BI
Marsh Posté le 01-09-2004 à 13:16:59
ben oui, pour une fois ke G besoin d'un pt prog ke je connais pas, je me suis retrouvé noyé dans les écrans popups etc qui vous installent des exe sans le temps de dire ouf.
maintenant me voilà infecté avec 1 ou 2 trucs que j'arrive pas à virer:
déjà, il me change ma homepage en allsearchweb machin, bon, ok je remets MA homepage ds IE options mais même il me remets allsearchtruc avec les écrans automatiques qu'il génère, l'enfoiré !
sinon, j'ai un pt salopard sur mon DD ds windows qui s'appelle "inetg" que je peux pas supprimer depuis çà. il veut pas, qd je fais ctrl/alt/del il apparait pas & pourtant si j'exécute msconfig, j'ai bien 3 cases de ce truc à décocher (démarrage/services) + dans le sys.ini j'ai inetg/services.exe que je décoche mais tout ce merdier se remet automatiquement
comment je peux virer çà nomdedieu ???
merci de m'aider qq'un