w32.randex ou w32.rbot/w32.sdbot.... - Sécurité - Windows & Software
Marsh Posté le 22-05-2005 à 22:32:50
Bonjour
Pour gaobot, il y a ça
http://www.symantec.com/region/fr/ [...] .tool.html
sinon essaye les antivirus en ligne afin de savoir avec certitude le nom de ce virus
Marsh Posté le 23-05-2005 à 15:23:35
popotitagluck a écrit : Salut, |
Fais ce Scan en ligne: Ravantivirus (avec IE obligatoirement)
Clique sur: << To continue without subscribing click here. >>, autorise l'installation du contrôle activeX, avec les options de sécurité par défaut. Pour appliquer ces paramètres :
-Ouvrir Internet Explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".
-Ouvrir Internet Explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".
Attends que "Ready" s'affiche et coches la case "Autoclean"
Clique sur "Scan my pc".
Quand le Scan est terminé (çà peut être long), copie et colle le rapport.
Marsh Posté le 26-05-2005 à 22:54:59
pow-wow a écrit : |
ok je vais aller faire ça mais aussi depuis un jour j'ai appris deux trois truc sur mon virus, j'ai des fichier (.exe) qui se sont ajouté dans la liste de démarrage. ces fichiers malgré que je les détruisent revienne tout le temps sous un autre nom. genre :
iexwe.exe
ftp.exe
ms32.exe
ce virus (je crois s'appelle):
Win32.Sdbot (Computer Associates)
ALIAS
Backdoor.SdBot.gen (Kaspersky)
W32/Sdbot.worm.gen (McAfee)
W32/Rbot-Fam (Sophos)
Backdoor.Sdbot.gen (Symantec)
W32.HLLW.Donk (Symantec)
WORM_SDBOT.GEN (Trend Micro)
BAT_SDBOT (Trend Micro)
BKDR_SDBOT (Trend Micro)
Backdoor.Rbot gen
IRC-Sdbot
Win32/Gnu.Trojan
Win32/IRCBot.SvHost.Trojan
Backdoor/SDBot
Backdoor/Sdbot.Server
certain anti-virus le trouve mais ne l'efface pas d'autre ne font rien... Enfin bref c'est un peu la M....
Marsh Posté le 27-05-2005 à 12:33:03
Hello, encore moi, je vous met juste la liste de tout les dll que iexwe.exe emploie...
advapi32.dll c:\windows\system32
avicap32.dll c:\windows\system32
comctl32.dll c:\windows\winsxs\x86_microsoft
comctl32.dll c:\windows\system32
comdlg32.dll c:\windows\system32
crypt32.dll c:\windows\system32
dnsapi.dll c:\windows\system32
gdi32.dll c:\windows\system32
icmp.dll c:\windows\system32
iexwe.exe c:\windows\system32
iphlpapi.dll c:\windows\system32
kernel32.dll c:\windows\system32
mpr.dll c:\windows\system32
msasn1.dll c:\windows\system32
msvcrt.dll c:\windows\system32
msvfw32.dll c:\windows\system32
mswsock.dll c:\windows\system32
netapi32.dll c:\windows\system32
ntdll.dll c:\windows\system32
odbc32.dll c:\windows\system32
odbcint.dll c:\windows\system32
ole32.dll c:\windows\system32
oleaut32.dll c:\windows\system32
rasadhlp.dll c:\windows\system32
rpcrt4.dll c:\windows\system32
secur32.dll c:\windows\system32
shell32.dll c:\windows\system32
shlwapi.dll c:\windows\system32
user32.dll c:\windows\system32
version.dll c:\windows\system32
wininet.dll c:\windows\system32
winmm.dll c:\windows\system32
winrnr.dll c:\windows\system32
wldap32.dll c:\windows\system32
ws2_32.dll c:\windows\system32
ws2help.dll c:\windows\system32
wshtcpip.dll c:\windows\system32
wsock32.dll c:\windows\system32
Et apparement ms32.exe n'est pas exactement pareil à iexwe car il n'utilise pas tout à fait les même dll
Marsh Posté le 27-05-2005 à 12:56:37
Bonjour, poste un rapport Hijackthis:
http://www.merijn.org/files/hijackthis.zip
Important: l'installer sous C:\ pas dans un fichier Temp
Tutorial pour l'installation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
Marsh Posté le 27-05-2005 à 13:40:53
stonangel a écrit : Bonjour, poste un rapport Hijackthis: |
Ok alors voilà le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 13:35:49, on 27.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ms32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8088
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [IW_ControlCenter] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [VOBID] C:\Program Files\Pinnacle\InstantCDDVD\\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Compaq32 Service Drivers] ms32.exe
O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] ms32.exe
O4 - HKCU\..\Run: [Compaq32 Service Drivers] ms32.exe
O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Save Flash by &GetFlash - C:\PROGRA~1\GetFlash\getflash.htm
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: ConferenceRoom Java Client - http://irc.bluewin.ch/java/cr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/globa [...] OFILER.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {F1154108-FB75-47EB-9A7E-4DD28DBDAF34} - http://www.threedegrees.com/td_netd.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
Marsh Posté le 27-05-2005 à 17:29:54
Re, télécharge et installe CleanUp
http://downloads.stevengould.org/cleanup/CleanUp40.exe
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [Compaq32 Service Drivers] ms32.exe
O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] ms32.exe
O4 - HKCU\..\Run: [Compaq32 Service Drivers] ms32.exe
O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE< non infectieuse consomme des ressources
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present< à restaurer après la manipulation
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
Démarre en mode sans échec (F8 ou F5)
Assure toi d'avoir accès à tous les fichiers.
Citation : Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : |
Supprime les fichiers incriminés (s'ils existent encore):
ms32.exe localisation probable: c:\windows\system32\ms32.exe
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
Lance CleanUp.
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.
Marsh Posté le 01-09-2005 à 19:36:05
Bon je répond un sacrée moment après, mais j'avais réussi à réparé ce problème, en faite ce virus était envoyé par je ne sais quel serveur et tombait sur mon ordi, du coup j'ai pris un firewall adapté et les problèmes on disparut, bien que les premiers jour de l'installation une centaine d'intrusion on été bloqué sur mon pc, ensuite ça c'est un peu calmé
Marsh Posté le 22-05-2005 à 20:17:19
Salut,
Alors voilà j'ai un virus ou quelque chose qui y ressemble, je ne sais pas son nom, peut être w32.gaobot... Je vais vous décrire les symptômes:
- Mon theme xp est passé au vieux theme 98...
- Dans le gestionnaire de tâches (si j'arrive a l'ouvrir ) la partie nom d'utilisateur n'affiche plus rien
- au bout d'un certain temps lorsque je redémarre, l'ordi se fige.
- J'ai un fichier que je suspect => un certain tftp**** **** représantant un chiffre aléatoir, ce fichier ce situe dans system32.
Que faire que faire...
Message édité par popotitagluck le 27-05-2005 à 12:40:37