Hello,  
 
 Suite a des flux de données louches, juska me faire planter kerio, j'ai utilisé secuser qui me détecte ircbot (sdbot,randex and co =ircbot)
 
 J'ai mis un antivirus "Antivir" qui me detecte toute les *.exe créé et l'empeche de fonctionné mais il n'arrive pas à supprimer la source du problème, donc a chak démarrage, rebelote    
 
 Je voulais savoir s'il y avait un moyen de supprimer definitivement de manière gratuite ce problème    
 
 Certains sites préconisent de stopper le "recover system" de WinXP/Me m'enfin bon j'ai win2000...Je vois donc pas pourquoi ces fichiers reviennent tt le tps surtout le wsass.exe    
 
 

Salut,
 
ircbot ajoute la valeur "Microsoft Movie Maker" = "Mmaker.exe" dans les clés suivantes :
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnce
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
RunOnce
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run
 
Effacer les valeurs "Microsoft Movie Maker" = "Mmaker.exe" trouvées dans ces clés.
 
A+

Mci,
 
Mais je ne trouve pas ces clés, pas de "Mmaker.exe"
 
 

*J'ai mis AVP 5, plus puissant qu'antivir. J'ai passer un coup de REGCLEAN et rajouter une couche de TROJAN RECOVER sur le tas!
 
*En ecumant le site de symantec, j'ai vu qu'il fallait tout virer en mode sans echec ou VGA.
 
 -> MAlgré tout aprés virer tout un tas de fichiers de suspect, au bout d'un certain temps, ils reviennent et je ne comprend pas pk étant donné que sur win 2000 pro, il n'y a pas de fichiers restore.
 
 Je me demande où se trouve la source de ces ennuis?! Surement un fichiers sources non détecté qui refout toutes ces merdes sans arret dans WINNT/system32
 
 Le pire c'est que j'ai rarement utilisé mIRC et qu'il n'estr plus présent sur machine depuis au moins 6 mois, de plus j'ia formaté entre temps

 Je vire des clés, AVP vire toujours les mêmes fichiers à tours de bras, mais pourquoi est ce que toutes ces merdes reviennent tout le tps   (IRCbot,sdbot) C'est pas humain!  

Je vous met un chti Hijack this, moi perso j'y vois rien d'anormal
 
Logfile of HijackThis v1.97.7
Scan saved at 20:41:36, on 18/05/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Rainlendar\Rainlendar.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Baptiste\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "e:\jeux\steam\steam.exe" -silent
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O4 - Startup: Transparent.exe.lnk = C:\Documents and Settings\Baptiste\Mes documents\Transparent\Transparent.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGo [...] /npwwg.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/drm.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/200 [...] bridge.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] .557025463
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGo [...] axchat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1EE5CC3-FBC5-4FAA-945F-50F02F8F3039}: NameServer = 213.228.0.212 212.27.32.177
 

fais un scan en ligne ICI, puis colle le rapport ici a la fin du scan

 
 
 
Scan started at 20/05/2004 08:53:47
 
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\Baptiste\Application Data\Thunderbird\Profiles\default\xbabgcoh.slt\Mail\pop.ifrance.com\Inbox->(part0104:data.zip)->data.rtf                                                                           .scr - Win32/Netsky.P@mm -> Infected
C:\Documents and Settings\Baptiste\Application Data\Thunderbird\Profiles\default\xbabgcoh.slt\Mail\pop.ifrance.com\Trash->(part0095:data.zip)->data.rtf                                                                           .scr - Win32/Netsky.P@mm -> Infected
C:\WINNT\system32\jade.exe->(UPXW)->(RARSfx)->hvbve.exe - TrojanProxy/Win32.Ranky.R -> Infected
C:\WINNT\system32\rggergs.exe->(UPXW)->(RARSfx)->fdscvsa.exe - TrojanProxy/Win32.Ranky.S -> Infected
C:\WINNT\system32\rggergs.exe->(UPXW)->(RARSfx)->fqevsdt.exe - Backdoor:IRC/Sdbot -> Infected
 
Scanned
============================
 Objects: 17831
 Directories: 1071
 Archives: 715
 Size(Kb): 808532
 Infected files: 5
 
Found
============================
 Viruses found: 4
 Suspicious files: 0
 Disinfected files: 0
 Mail files: 302
 
 

Redemarre en mode sans echec (f8 au demarrage)
puis:
- Supprime les pièces jointes de ta boîte de réception.
-puis Affiches les fichiers cachés : Ouvre le poste de travail  
Outils/Options des dossiers  
Onglet affichage  
Au milieu il y a Fichiers et dossiers cachés  
Coche Afficher les fichiers et dossiers cachés  
Fais appliquer
et par l'explorateur supprime manuellement ces fichiers la :
C:\WINNT\system32\jade.exe
C:\WINNT\system32\rggergs.exe  
C:\WINNT\system32\rggergs.exe
 
Redemarre normal et refais un scan
 
ensuite par l'explorateur windows : supprime ces fichiers la