Salut ,
Bon ca fait 3 jours que je suis très emmerdé avec un virus et je pense que c'est sasser.J'ai pas mal écumé les posts du forum et essayé les différentes méthodes mais rien à faire je n'arrive pas du tout à m'en débarrasser.
Je m'explique ,je débranche mon modem,utilise hijackthis pour virer tous les trucs qui me paraissent suspicieux.Ensuite j'essaye d'appliquer les correctifs que j'ai télécharger sur le site de microsoft et la aucun ne marche.Il bloque dès qu'il faut qu'il copie un fichier .dll qui se trouve dans le dossier qui a été décompressé.Il me demande de trouver le fichier pour lui et meme lorsque je lui indique ,celui ci fait comme si il ne le trouvait pas.
Dès lors j'ai télécharge le virus cleaner de avast et celui ci ne m'a rien trouvé.
Or dès que je rebranche mon modem ,j'ai mon fichier svchost.exe qui me bouffe 50% de mon uc et qui au bout de qq temps me fais le coup du compte à rebours.J'execute le shutdown -a mais après j'ai mon outlook qui est bloqué(plus de messages recus ni envoyés) je ne peux plus faire de copier coller ,etc.Bref les signes tangibles qu'à priori ca serait bien le virus sasser.
Dès lors je voudrais savoir comment faire,d'un pour que les correctifs marchent ,de deux me débarrasser définitivement et efficacement de se virus de merde.
En vous remerciant pour votre aide.

slt,
 
pour être fixer sur le nom du virus, analyse ton PC avec cet antivirus en ligne : http://www.ravantivirus.com/scan/  
Clique sur "To continue without subscribing click here" et attends quelques minutes.    
Lorsque "Ready" est affiché dans "status", clique sur "Scan my PC".    
A la fin de l'analyse, copier/coller le rapport ici.

J'ai fait ce que tu as dit et voila ce que ca m'a donné:
Scan started at 12/07/2004 08:15:13
 
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\syshost.exe->(UPXW) - Exploit:Win32/RpcDcom.gen! -> Suspicious
C:\WINDOWS\system32\joxncdu.exe - Win32/HLLW.SpyBot -> Infected
C:\WINDOWS\system32\down.com - Worm:Win32/Raleka.A* -> Infected
C:\WINDOWS\system32\wuamgrdgt.exe - Backdoor:IRC/SdBot -> Infected
C:\WINDOWS\system32\wmmon32.exe - Win32/HLLW.Gaobot -> Infected
C:\WINDOWS\system32\TFTP9844 - Backdoor:Win32/Rbot -> Infected
C:\WINDOWS\system32\TFTP692 - Backdoor:Win32/Rbot -> Infected
C:\WINDOWS\system32\jjtuswq.exe - Win32/HLLW.SpyBot -> Infected
C:\WINDOWS\system32\glfwpen.exe - Win32/HLLW.SpyBot -> Infected
C:\WINDOWS\system32\wuamgrd.exe - Win32/HLLW.SpyBot -> Infected
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\81YJK1AZ\82.224.160[1].gif - Win32/Bobax.C.worm -> Infected
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CDYZST6Z\x[2].exe - Win32/Korgo.W.worm -> Infected
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CDYZST6Z\82.224.160[1].gif - Win32/Bobax.C.worm -> Infected
C:\WINDOWS\Downloaded Program Files\roing17.ocx - TrojanDownloader:Win32/VB -> Suspicious
C:\WINDOWS\Downloaded Program Files\roing18.ocx - TrojanDownloader:Win32/VB -> Infected
C:\WINDOWS\Downloaded Program Files\mm20.ocx - TrojanDownloader:Win32/VB.DB -> Infected

Mazette
Tu n'avais pas d'antivirus ou jamais fait de scan ?

Redémarre en mode sans échec (appuie f8 au démarrage de l'ordi) et
assure-toi que tu as accès aux fichiers cachés.  
(ouvre l'explorateur windows->outils->options des dossiers->affichage  
coche "Afficher les fichiers cachés" )
et supprime ces fichiers en gras:
 
C:\WINDOWS\system32\syshost.exe
C:\WINDOWS\system32\joxncdu.exe
C:\WINDOWS\system32\down.com
C:\WINDOWS\system32\wuamgrdgt.exe
C:\WINDOWS\system32\wmmon32.exe
C:\WINDOWS\system32\TFTP9844
C:\WINDOWS\system32\TFTP692
C:\WINDOWS\system32\jjtuswq.exe
C:\WINDOWS\system32\glfwpen.exe
C:\WINDOWS\system32\wuamgrd.exe
C:\WINDOWS\Downloaded Program Files\roing17.ocx
C:\WINDOWS\Downloaded Program Files\roing18.ocx
C:\WINDOWS\Downloaded Program Files\mm20.ocx
 
ainsi que ce dossier:
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\
 
Vide ta corbeille, redémarre et refais un scan avec rav.

Le rapport est incomplet !

Bon après nettoyage voici le nouveau rapport:
Scan started at 13/07/2004 08:35:42
 
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\Downloaded Program Files\roing17.ocx - TrojanDownloader:Win32/VB -> Suspicious
C:\WINDOWS\Downloaded Program Files\roing18.ocx - TrojanDownloader:Win32/VB -> Infected
C:\WINDOWS\Downloaded Program Files\mm20.ocx - TrojanDownloader:Win32/VB.DB -> Infected
 
Scanned
============================
 Objects: 11065
 Directories: 632
 Archives: 280
 Size(Kb): 1733605
 Infected files: 2
 
Found
============================
 Viruses found: 2
 Suspicious files: 1
 Disinfected files: 0
 Mail files: 41
 
Mon problème est que quand je fais une recherche sur ces fichiers,ils demeurent introuvables.Alors arrivent-ils à effacer leurs présences ou bien y a t-il un moyen pour déloger ces saloperies?
En vous remerciant .

Voici mon rapport pouvez vous m'aider ?  
 
Scan started at 13/07/2004 09:13:57
 
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\bot.exe - Win32/HLLW.Gaobot -> Infected
C:\WINDOWS\system32\tecgxfi.exe - Win32/HLLW.SpyBot -> Infected
C:\WINDOWS\system32\wuam.exe - Backdoor:Win32/Rbot.M -> Infected
C:\WINDOWS\system32\wuamgrd.exe - Win32/HLLW.SpyBot -> Infected
C:\WINDOWS\system32\wuamgrdgt.exe - Backdoor:IRC/SdBot -> Infected

Tant que tu ne peut pas faire d'update windows, il y a des chances que mm si tu les supprimes ces virus reviennent (particulièrement gaobot ...)
Essaye de faire la mise à jour en mode sans échec avec prise en charge du réseau ... tu te débarasseras jamais de tout sans ca (ou utilise un firewall ...mais c'est la solution la plus compliqué des deux ...)

SpyBot, gaobot  
Le site du symantec il y a des outille de nettoyage  
a voir.

recca :
 
télécharge The Kill BOx ici: http://download.broadbandmedic.com/rx09ty/KillBox.zip  
 
Ouvre le  
Colle C:\WINDOWS\Downloaded Program Files\roing17.ocx dans la case blanche  
Ensuite decoche create a backup before killing  
Fais find and kill this file.
 
recommence la même opération avec C:\WINDOWS\Downloaded Program Files\roing18.ocx et C:\WINDOWS\Downloaded Program Files\mm20.ocx.
 
Redémarre et refais un scan de vérif.
 
-----
 
Spike69:  
 
Redémarre en mode sans échec (appuie f8 au démarrage de l'ordi) et
assure-toi que tu as accès aux fichiers cachés.  
(ouvre l'explorateur windows->outils->options des dossiers->affichage  
coche "Afficher les fichiers cachés" )
puis supprime ces fichiers et vide ta corbeille:
 
C:\WINDOWS\system32\bot.exe
C:\WINDOWS\system32\tecgxfi.exe
C:\WINDOWS\system32\wuam.exe
C:\WINDOWS\system32\wuamgrd.exe
C:\WINDOWS\system32\wuamgrdgt.exe
 
Redémarre et refais un scan de vérif.
 
A l'avenir, crée un autre post pour tes pb au lieu de poster dans celui des autres .

En passant, pensez à desactiver la restauration de fichiers windows !
 
et aussi à installer un firewall !

Bon bah ,j'ai fini mon nettoyage,je pense que la c'est bon ,rav n'a plus rien détecté .
Je tiens à remercier plus particulièrement SGGK pour toute son aide précise et très efficace .Merci aussi aux autres qui ont répondu.
Me reste plus qu'a installé un bon firewall et on en parle plus.A ce propos kério est-il le meilleur ou bien y en aurait-il un gratuit et aussi efficace et surtout pas mega compliqué à configuré.

Zone ALarm existe en gratuit et il est simple à configurer.

ouaip mais prends kério quand même ... ZA version gratos est plus ou moins efficace semblerait-il

ZA ou Kerio sont tout deux bon!
 
++ recca

j

moi aussi j'ai des probleme de virus
sggk peut tu m'aider

trojan a gogo
help

tu peux faire ton topic aussi
 
mais bon tu a essayé tout ce qui est dit ici :
 
http://forum.hardware.fr/forum2.ph [...] =0&subcat=

mon rapport me dis  
Found viruses  
File: C:\WINDOWS\autoclk.exe  
Virus: Trojan:Win32/KillReg.D Status: Infected  
 
File: C:\WINDOWS\system32\bot.exe  
Virus: Win32/HLLW.Gaobot Status: Infected  
 
File: C:\Documents and Settings\CCX\Local Settings\Temp\ccvsm.dat  
Virus: TrojanSpy/Win32.Agent.P Status: Infected  
 
File: C:\Documents and Settings\CCX\Local Settings\Temp\THI218F.tmp\twaintec.cab->twaintec.dll  
Virus: Trojan:Win32/Spy.BiSpy.C Status: Infected  
 
File: C:\Documents and Settings\CCX\Local Settings\Temp\THI218F.tmp\twaintec.cab->polall1t.exe  
Virus: TrojanDownloader:Win32/Agent.AE Status: Infected  
 
File: C:\Documents and Settings\CCX\Local Settings\Temp\THI133E.tmp\twaintec.cab->twaintec.dll  
Virus: Trojan:Win32/Spy.BiSpy.C Status: Infected  
 
File: C:\Documents and Settings\CCX\Local Settings\Temp\THI133E.tmp\twaintec.cab->polall1t.exe  
Virus: TrojanDownloader:Win32/Agent.AE Status: Infected  
 
File: C:\Documents and Settings\carole\Local Settings\Temp\_update.dat  
Virus: TrojanSpy/Win32.Agent.L Status: Suspicious  
 
File: C:\System Volume Information\_restore{48BBA3FC-8B8E-4C5B-8304-651AE698214E}\RP337\A0109568.exe  
Virus: Win32/HLLW.Gaobot Status: Infected  
 
File: C:\System Volume Information\_restore{48BBA3FC-8B8E-4C5B-8304-651AE698214E}\RP337\A0109569.exe  
Virus: Trojan:Win32/KillReg.D Status: Infected  
 
File: C:\System Volume Information\_restore{48BBA3FC-8B8E-4C5B-8304-651AE698214E}\RP333\A0095803.0xe  
Virus: Backdoor:Win32/Rbot Status: Infected  
 
File: C:\System Volume Information\_restore{48BBA3FC-8B8E-4C5B-8304-651AE698214E}\RP333\A0095805.0xe  
Virus: Backdoor:Win32/Rbot Status: Infected  
 
File: C:\System Volume Information\_restore{48BBA3FC-8B8E-4C5B-8304-651AE698214E}\RP333\A0095807.0xe  
Virus: Backdoor:Win32/Rbot Status: Infected  
 
File: C:\System Volume Information\_restore{48BBA3FC-8B8E-4C5B-8304-651AE698214E}\RP333\A0095808.0xe  
Virus: Backdoor:Win32/Rbot Status: Infected  
 
File: C:\System Volume Information\_restore{48BBA3FC-8B8E-4C5B-8304-651AE698214E}\RP336\A0108860.exe  
Virus: Trojan:Win32/KillReg.D Status: Infected  
 
File: C:\System Volume Information\_restore{48BBA3FC-8B8E-4C5B-8304-651AE698214E}\RP336\A0108861.exe  
Virus: Win32/HLLW.Gaobot Status: Infected  
 
File: C:\System Volume Information\_restore{48BBA3FC-8B8E-4C5B-8304-651AE698214E}\RP336\A0108865.exe  
Virus: Win32/HLLW.Gaobot Status: Infected  
 
File: C:\System Volume Information\_restore{48BBA3FC-8B8E-4C5B-8304-651AE698214E}\RP336\A0108866.exe  
Virus: Trojan:Win32/KillReg.D Status: Infected  
 
 

Comment vous faites pour vous chopper tous ces virus ?

1. Désactive la restauration système comme indiquée ici :  
http://www.libellules.ch/desactiver_restauration.php
 
2. Redémarre en mode sans échec (appuie f8 au démarrage de l'ordi) et
assure-toi que tu as accès aux fichiers cachés.  
(ouvre l'explorateur windows->outils->options des dossiers->affichage  
coche "Afficher les fichiers cachés" )
 
3. puis supprime:
 
C:\WINDOWS\autoclk.exe<= le fichier
 
C:\WINDOWS\system32\bot.exe<= le fichier
 
C:\Documents and Settings\CCX\Local Settings\Temp\<= tout le contenu du dossier.
 
4. Redémarre, et réactive ta restauration système.
 
5. refais un scan de vérif.

une utilisation de "startup manager" me semble plutôt bien utile! ensuite un petit "Ad-Aware" et avec ces deux programmes tu peux déjà te débarrasser de pas mal de choses...
 
maintenant il faut se méfier, car sur le net, une simple recherche sur google peut t'amener sur des sites de star ou autre (pas besoin que ce soit du X) et bammm tu reçois plein de cadeaux non désirés... mais quand est-ce que microsoft va empècher l'accès à sa base de registre?!