Salut
 
Sur un des PC (vieille bécane (486 dédié sur un système automatisé sous win98) avec seulement un lecteur de disquette) du lycée ou je travaille un élève a mis un programme malicieux qui bouge la souris de la moitié de l'écran toutes les 5s environ. Il devient donc très difficile de travailler dessus.
Ne voulant pas démonter la bécane pour y installer un lecteur de CD, je recherche le nom du fichier à détruire directement sur le dur.
 
J'ai rien trouvé sur les moteurs de recherche ou les sites spécialisé qui corresponde à mon problème.
 
Donc si quelqu'un a une idée, je suis preneur.
 
A+

regarde tous les softs lancés au démarrage

avec CTRL ALT SUPR  je n'ai aucun programme suspect, d'autant plus que je ferme tous ceux qui ont un nom suspect.
 
Pour voir ceux qui se lancent au démarrage, c'est quoi la commande, please.
 
Merci tharkie de t'interresser à mon pb.

msconfig dans le menu démarrer/exécuter

Thanks
J'essaie à la récré quand la salle est libre.
je vous tiens au courant.
A+

essayé msconfig
 
y a qu'un prog nommé "Résident" qui parait bizarre, je l'ai décoché du démarrage, ça n'a rien changé.
 
j'ai aussi vu que le registre  a été bricolé car quand j'ai fait "éxécuter", la ligne de commande était "regedit". Donc un élève est allé bricoler la base de registre. Peut-on savoir quel jour à quelle heure? (j'ai fait une recherche sur les dates des fichier de registres et j'en ai un Regedit.lgc qui peut correspondre. A quoi sert-il?)Tous les autres ont une date de modif de 1999.
 
Dernière chose, le "virus" a migré  lundi entre 2 PC: un qui était infecté ne l'est plus et le voisin l'est. J'en conclu que c'est rapide à enlever et à installer.
Peut-il s'agir simplement d'une modif de la base de registre? J'ai vérifié les paramètres de la souris.
 
Comme vous voyez, je pédale dans la choucroute, toute suggestion sera la bienvenue.
 

ca ressemble a un soft comme il etait utilisé a l'epoque des bar a pub y a 3-4 ans (un truc qui affichait de la pub sur le pc et qui remunerai au nombre de pub affiché. pour que ca marche il fallais bouger la souris)
 
Je suis presque certain que tu a un exe qui se lance au boot de la machine...
Tu ne peut pas voir a quel heure a ete modifier la bdr, mais tu peut surement voir a quel heure a ete posé le programme de la souris sur la machine (propriete du fichier, date de creation)

Phod, j'ai regardé les dates de créations des drivers de la souris: ils ont tous été installés le 5 mai 1999 à 22h22.
On est le 5 mai 2004 et 22h22 me fait fortement penser à une blague du créateur du virus.
Cependant en comparant avec un autre ordi, les drivers ont l'air OK.
Je vais les changer mais j'y crois pas trop. Merci pour l'info.
 
Si vous avez d'autres idées, n'hésitez pas.
 
Sol

 
C'est normal pour toi que l'heure soit incorrecte. Je ne sais pas si c'est le cas mais si tu changes la date et l'heure pour faire les conneries et apres que tu repasses en heure normale est ce que la date d'installation des drivers va etre la bonne ?

je ne crois pas qu'il s'agisse de cela car tous les PC ont les même dates pour les drivers de souris. Je crois que le collègue qui les avait installés avait fait une image qu'il a copié sur les durs.
 
Donc ma dernière piste valable, c'est la mofif de la base de registre avec ce fichier Regedit.lgc. modifié lundi à 14h16 alors que la salle était vide...
 
par contre la date du PC est la bonne actuellement.
 
Donc je nage toujours.

Ce fichier modifiant la BDR tu peux le voir ou nous l'afficher (si pas trop long) pour voir ce qu'il comporte. Quand je tape le nom du fichier sur google, il y a des choses qui s'apparente à netbus !
http://www.windowsecurity.com/pages/article.asp?id=453

je vous le donne après le repas vers 13h.
A+

voici ce qu'il y a dans le fichier regedit.lgc (ouvert avec le notepad):
{
o d0f3d5d0 1e000 "C:\WINDOWS\REGEDIT.EXE"
R d0f3d5d0 0 40
R d0f3d5d0 9dc8 f8
R d0f3d5d0 9dc8 1c0
r d0f3d5d0 16000 1000
R d0f3d5d0 14000 1000
r d0f3d5d0 15000 1000
o c146f350 15a000 "C:\WINDOWS\SYSTEM\SHELL32.DLL"
R c146f350 83000 1000
o c1502110 45110 "C:\WINDOWS\SYSTEM\SHLWAPI.DLL"
R c1502110 3c000 1000
R c1502110 3c000 1000
R c1502110 2000 1000
R c1502110 2000 1000
R c1502110 3d000 1000
R c1502110 3e000 1000
R c1502110 3f000 800
R c146f350 83000 1000
R c146f350 1000 1000
R c146f350 1000 1000
R c146f350 85000 1000
R c1502110 3a000 1000
R c1502110 3b000 1000
R c146f350 86000 600
R c146f350 84000 1000
o c1518420 2b000 "C:\WINDOWS\SYSTEM\COMDLG32.DLL"
R c1518420 1b000 1000
R c1518420 1c000 1000
R c1518420 1d000 600
R c1518420 1b000 1000
R c1518420 1000 1000
R c1518420 1000 1000
o d0f316e0 231a "C:\WINDOWS\WIN.INI"
R d0f316e0 0 231a
C d0f316e0
R c1502110 13000 1000
R c1502110 40000 c00
R c1502110 22000 1000
R c1502110 14000 1000
R c146f350 2000 1000
R c146f350 22000 1000
R c146f350 88000 a00
R c146f350 d000 1000
R c146f350 6000 1000
R c1518420 f000 1000
R c1518420 1e000 1000
r d0f3d5d0 b000 1000
r d0f3d5d0 a000 1000
r d0f3d5d0 19000 1000
r d0f3d5d0 1c000 1000
r d0f3d5d0 17000 1000
r d0f3d5d0 d000 1000
R d0f3d5d0 13000 1000
r d0f3d5d0 18000 1000
o c1501050 8d110 "C:\WINDOWS\SYSTEM\COMCTL32.DLL"
r c1501050 16000 1000
r c1501050 12000 1000
r c1501050 55000 1000
r c1501050 56000 1000
r c1501050 5f000 1000
r d0f3d5d0 c000 1000
r c1501050 33000 1000
r c1501050 32000 1000
r c1501050 46000 1000
r c1501050 3c000 1000
r c1501050 3b000 1000
o d0f316b0 78110 "C:\WINDOWS\SYSTEM\MLANG.DLL"
R d0f316b0 1d000 e00
o c15087d0 be110 "C:\WINDOWS\SYSTEM\OLE32.DLL"
R c15087d0 a3600 1000
R c15087d0 a3600 1000
R c15087d0 600 1000
R c15087d0 600 1000
R c15087d0 a4600 1000
R c15087d0 a5600 800
R d0f316b0 1d000 1000
R d0f316b0 2000 1000
R d0f316b0 2000 1000
R c15087d0 54600 1000
R c15087d0 55600 1000
R c15087d0 16600 1000
R c15087d0 ac800 1000
R c15087d0 20600 1000
R c15087d0 b0800 1000
R c15087d0 1f600 1000
R c15087d0 af800 1000
R c15087d0 21600 1000
R c15087d0 c600 1000
R d0f316b0 1e000 1000
R d0f316b0 3000 1000
r c1501050 57000 1000
r c1501050 26000 1000
r c1501050 45000 1000
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 1cd020 6000
C d0f36540
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 38020 7000
C d0f36540
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 1d3020 6000
C d0f36540
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 1d9020 6000
C d0f36540
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 1df020 6000
C d0f36540
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 24d020 7000
C d0f36540
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 310020 6000
C d0f36540
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 316020 6000
C d0f36540
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 339020 6000
C d0f36540
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 33f020 6000
C d0f36540
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 364020 6000
C d0f36540
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 36a020 6000
C d0f36540
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 386020 6000
C d0f36540
o d0f36540 43f020 "C:\WINDOWS\SYSTEM.DAT"
R d0f36540 39d020 6000
C d0f36540
r c1501050 58000 1000
r c1501050 60000 1000
}
 

K-nibal: j'ai oublié de préciser que le PC n'est pas et n'a jamais été en réseau. Il ne peut donc pas servir pour un virus de type trojan je présume.
Pour la double modif de date, j'ai fait l'essai et effectivement si on change la date, on créé le fichier, on rechange la date il conserve la vieille date dans ses propriétés.

j'ai l'impression que ma page de code a malheureusement calmé toutes les vélléités de réponses.