[Résolu] c'est quoi ce virus ????

c'est quoi ce virus ???? [Résolu] - Sécurité - Windows & Software

Marsh Posté le 07-07-2005 à 11:20:39    

bonjour,
un de mes clients, vient de m'apporter son portable.
Alors celui-ci fonctionne très bien jusqu'à ce que l'on appuye sur une touche... A partir de là : il n'y a plus rien à faire. L'ordinateur est completement bloqué.
Par contre avec la souris là aucun problème : je peux faire exactement ce que je veux.
Donc vous aller me dire : installe un antivirus...
 
Ouaip c'est ce que je viens de faire MAIS là aussi il y a un problème : la machine se met à rebooter au bout d'un certain temps. Donc je n'ai pas le temps de faire le scan complet...
 
Ah oui pour finir ; j'ai trouvé sur la machine que le nom de l'utilisateur avait été changé? Et qu'à de nomreux endroits le nom et : ZOB... (oui oui c'est pas une blaque).
Donc quelqu'un connait-il un moyen pour résoudre ce problème ?
 
Merci à tous.


Message édité par Prozac-14 le 08-07-2005 à 13:17:04

---------------
Je suis capable du meilleur comme du pire, mais c'est dans le pire que je suis le meilleur.
Reply

Marsh Posté le 07-07-2005 à 11:20:39   

Reply

Marsh Posté le 07-07-2005 à 12:07:33    

ya pas des antivirus qui se lance depuis un cd bootable?

Reply

Marsh Posté le 07-07-2005 à 12:21:53    

si mais comme ca doit être un virus récent, ce n'est pas sûr qu'un antivirus bootable le détecte !


---------------
Je suis capable du meilleur comme du pire, mais c'est dans le pire que je suis le meilleur.
Reply

Marsh Posté le 07-07-2005 à 12:24:27    

tu risques quoi à essayer?

Reply

Marsh Posté le 07-07-2005 à 12:30:21    

Bonjour, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip
 
Important: Installer Hijackthis correctement  
L’installer sous C:\Hijackthis par exemple (pas dans un fichier temp)
 
Scan/save log (rapport)/copier&coller le contenu du rapport ici
 
Tutorial pour l’installation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm

Reply

Marsh Posté le 07-07-2005 à 13:17:24    

stonangel a écrit :

Bonjour, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip
 
Important: Installer Hijackthis correctement  
L’installer sous C:\Hijackthis par exemple (pas dans un fichier temp)
 
Scan/save log (rapport)/copier&coller le contenu du rapport ici
 
Tutorial pour l’installation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm


 
Bonjour,
voici le rapport de hijackthis...
 

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 13:13:53, on 07/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
D:\WINDOWS.0\System32\smss.exe
D:\WINDOWS.0\system32\winlogon.exe
D:\WINDOWS.0\system32\services.exe
D:\WINDOWS.0\system32\lsass.exe
D:\WINDOWS.0\System32\Ati2evxx.exe
D:\WINDOWS.0\system32\svchost.exe
D:\WINDOWS.0\System32\svchost.exe
D:\WINDOWS.0\system32\spoolsv.exe
D:\WINDOWS.0\Explorer.EXE
D:\WINDOWS.0\System32\RunDll32.exe
D:\WINDOWS.0\system32\CmWatch.exe
D:\WINDOWS.0\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\WINDOWS.0\System\SmWizard.exe
D:\WINDOWS.0\System32\rundll32.exe
D:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS.0\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CmCardRun] D:\WINDOWS.0\system32\CmWatch.exe
O4 - HKLM\..\Run: [KAVPersonal50] D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS.0\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS.0\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS.0\web\related.htm
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS.0\System32\Ati2evxx.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
 
 


 
comme vous pouvez le constater : maintenant windows est installé sur D:  Ca c'est parce que le client à voulu re-installer windows et que cela a planté...
Perso j'avais déjà regardé hier soir, et je n'ai rien trouvé d'anormal dans le rapport.


---------------
Je suis capable du meilleur comme du pire, mais c'est dans le pire que je suis le meilleur.
Reply

Marsh Posté le 07-07-2005 à 13:59:09    

Bonjour, tu peux fixer ces deux lignes:
 
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS.0\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS.0\web\related.htm  
 
Mais ça ne changera pas grand chose...
 
Télécharge cet utilitaire Silent runners
http://www.silentrunners.org/Silent%20Runners.zip
 
Une fois téléchargé, tu le dézippes dans un dossier dédié.
Puis tu double cliques sur ce fichier, il va travailler, patiente jusqu'à l'affichage d'un message.
Un log est généré dans le même dossier, colle le log ici.


Message édité par stonangel le 07-07-2005 à 13:59:21
Reply

Marsh Posté le 07-07-2005 à 14:52:30    

stonangel a écrit :

Bonjour, tu peux fixer ces deux lignes:
 
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS.0\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS.0\web\related.htm  
 
Mais ça ne changera pas grand chose...
 
Télécharge cet utilitaire Silent runners
http://www.silentrunners.org/Silent%20Runners.zip
 
Une fois téléchargé, tu le dézippes dans un dossier dédié.
Puis tu double cliques sur ce fichier, il va travailler, patiente jusqu'à l'affichage d'un message.
Un log est généré dans le même dossier, colle le log ici.


voici le log de silent runners :
 

Citation :

"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
 
 
Startup items buried in registry:
---------------------------------
 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "D:\WINDOWS.0\System32\ctfmon.exe" [MS]
"MSMSGS" = ""D:\Program Files\Messenger\msmsgs.exe" /background" [MS]
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"CmCardRun" = "D:\WINDOWS.0\system32\CmWatch.exe" [empty string]
"KAVPersonal50" = "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize" ["Kaspersky Lab"]
 
HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
                                       \StubPath   = ""D:\WINDOWS.0\System32\rundll32.exe" "D:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS.0\System32\hticons.dll" ["Hilgraeve, Inc."]
 
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
  -> {CLSID}\InProcServer32\(Default) = "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
 
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
  -> {CLSID}\InProcServer32\(Default) = "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
 
 
Active Desktop and Wallpaper:
-----------------------------
 
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 
HKCU\Control Panel\Desktop\
"Wallpaper" = "D:\WINDOWS.0\web\wallpaper\Colline verdoyante.bmp"
 
 
Enabled Screen Saver:
---------------------
 
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "D:\WINDOWS.0\System32\logon.scr" [MS]


---------------
Je suis capable du meilleur comme du pire, mais c'est dans le pire que je suis le meilleur.
Reply

Marsh Posté le 07-07-2005 à 15:14:47    

Re, le log de Silent Runners n'est pas complet mais apparemment pas de virus. Il faut peut-être checher du côté matériel...

Reply

Marsh Posté le 07-07-2005 à 18:07:55    

bon alors on laisse tomber... j'ai reussi grace au clavier virtuel à configurer l'adresse IP et cie.
Moralité : je transfert toutes les données importantes sur 1 de mes HDD et ensuite format c:
Merci au vendeur du magasin generation net à caen qui m'a donné cette idée.
moralité : le problème maintenant est + un problème de Hardware qu'un problème de virus.
Mais je verrai bien ce qu'il se passe quand j'aurai ré-installer XP, au propre dans la version : Prozac-14...
 
Je vous tiens au courant !


---------------
Je suis capable du meilleur comme du pire, mais c'est dans le pire que je suis le meilleur.
Reply

Marsh Posté le 07-07-2005 à 18:07:55   

Reply

Marsh Posté le 07-07-2005 à 18:35:21    

OK merci

Reply

Marsh Posté le 08-07-2005 à 13:16:38    

bon finalement c'est bon... avec le clavier virutel cela fonctionne parfaitement.
Merci de votre aide.


---------------
Je suis capable du meilleur comme du pire, mais c'est dans le pire que je suis le meilleur.
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed