Virus malin qui m'empoisonne et se cache bien

Virus malin qui m'empoisonne et se cache bien - Sécurité - Windows & Software

Marsh Posté le 27-10-2004 à 12:16:09    

J'ai depuis quelques jours, un virus et n'arrive pas à m'en débarasser.
Alors quelqu'un peut-il me lancer une bouée de sauvetage?
 
Ma config.: PC IBM, WinXP SP2, ADSL, ZoneAlarm 5.
 
En quelques mots, voilà l'historique.
 
J'utilisais Norton SystemWorks 2004 et j'ai voulu passer à la version 2005. L'installation de cette dernière s'est plantée (j'ai fait plusieurs tentatives). J'ai voulu revenir à la version 2004 et là badaboum... échec de l'installation.
 
J'ai ensuite installer KAV avec la dernière mise à jour de sa base et lancé mille et une recherches sans rien trouver.
 
Les premiers ennuis: IE6SP1 ne me permettant plus d'accéder à certains Webs dont WindowsUpdate, j'ai dû installer Opera. Je ne peux réinstaller IE.
 
Ensuite, j'ai essayé de me documenter et fait pas mal de manip. J'espère que je n'ai pas fait trop de conneries.
 
Après avoir désinstallé KAV, j'ai constaté qu'il y avait un process KAVSVC.EXE qu'il n'était pas possible d'arrêter. En mode sans échec, j'ai fait le ménage de KAVSVC y compris dans le registre.
 
Depuis ce matin, le fantôme semble s'appeler VSMON.EXE à moins que ce ne soit SPOOLSV.EXE.
 
Quand Opera démarre, j'ai droit à la page WWW.FILES.COM
 
Je m'arrête, car il y a bien d'autres désagréments.
 
Alors j'ai suivi ce qui se dit dans ce forum et j'ai fait fait le rapport HijackThis que je mets à la suite. Il faut noter que j'ai mis certaines clés de IE à blanc.
 
Logfile of HijackThis v1.98.2
Scan saved at 11:13:43, on 27/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nslsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\USB Flash Disk Utility\UFD Utility\UFDMon.exe
C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
C:\Program Files\BWMeter\BWMeter.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Total Commander\TOTALCMD.EXE
C:\Program Files\Port Explorer\PortExplorer.exe
C:\Program Files\FlashGet\flashget.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Opera76\opera.exe
c:\Downloads\HijackThis19802.exe
 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [UFD Utility] C:\Program Files\USB Flash Disk Utility\UFD Utility\USBTD.exe
O4 - HKLM\..\Run: [UFD Monitor] C:\Program Files\USB Flash Disk Utility\UFD Utility\UFDMon.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: BWMeter.lnk = C:\Program Files\BWMeter\BWMeter.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://c:\program files\microsoft office\office11\excel.exe/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - c:\Program Files\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - c:\Program Files\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.217.29.115/cax.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} -  
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - http://parnt900.cfao.com/iNotes.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3412370375
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - file://C:\Program Files\Support.com\Bin\IBMAccessSupport\common\install\ibmegath.cab
O16 - DPF: {E598AC61-4C6F-4F4D-877F-FAC49CA91FA3} (acpRunner Class) - file://C:\Program Files\Support.com\Bin\IBMAccessSupport\common\install\AcpControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F059F44-461B-45ED-9C74-1B3B9991B1A0}: NameServer = 213.181.52.10,192.168.0.2
O20 - AppInit_DLLs: PAVWAIT.DLL
 
Merci d'avance

Reply

Marsh Posté le 27-10-2004 à 12:16:09   

Reply

Marsh Posté le 27-10-2004 à 16:24:25    

Hé! Ya quelqu'un!

Reply

Marsh Posté le 27-10-2004 à 16:27:21    

Tu l'air d'avoir passé un max de temps entre installation et réinstallation d'antivurus, logiciels internet...
Pourquoi ne prend tu pas 1h pour sauvé tes fichiers importants et réinstaller un windows + pilotes propre ?

Reply

Marsh Posté le 27-10-2004 à 16:29:53    

Je suis pas spécialiste, mais je vois pas de virus là-dedans.
spolsv c'est le service qui gère l'impression.
vsmon, je sais plus, mais c'est pas un virus.
 
A mon avis, c'est norton. Je parle en connaissance de cause. Désinstaller norton ou gros plantages avec l'un de leurs produits c'est dur à réparer. Et certainement que tu as fait plus de mal que de bien. Alors, peut-être que certains vont hurler, mais je crois que réinstaller serait pas plus mal.

Reply

Marsh Posté le 28-10-2004 à 17:16:21    

bon je peut pas te repndre  
mais simplement pour l'instalation de nsw2005
tu avais desinstaller nsw2004 avant?
parce que si c'est le cas tu es foutu  
apres la desinstalltion  de norton tu ne peut plus instaler de programmes norton il te manque un truc du style noprob.dat  
voila c'est simplement pour repondre a ton premier probleme
 
chez norton ce sont des chiens :kaola:

Reply

Marsh Posté le 28-10-2004 à 18:59:12    

on a du mal à te répondre clairement, tu as masqué une grande partie de ton log .....
 
tu as le sp2 (donc avec le parefeu par défaut intégré) + C:\WINDOWS\system32\ZoneLabs\vsmon.exe <-- zone alarm = 2 pare-feux....
 
les R0 - <-- masqué
R3 - URLSearchHook: (no name) - (no file) <--déjà 1 c'est TRES suspect  ; toi! tu en as 3...
O9 - Extra button: (no name) -  (no file)  
Tu as eu Norton et comme dit "gandhi" si tu as encore des traces dans le registre t'es mal!  
tu as essayé Kaspersky et essayé de le virer etc etc..
et je vois une dll : O20 - AppInit_DLLs: PAVWAIT.DLL <--je pense que c'est une dll de  l'antivirus Panda
etc etc....
quel binz :D
 
édit : oups! j'avais écorché le pseudo de Gandhi  :sol:  
 


Message édité par western-shadow le 28-10-2004 à 19:02:34

---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 29-10-2004 à 13:22:10    

merci mais c'est pas grave
 
 
tu n'est pas le premier

Reply

Marsh Posté le 29-10-2004 à 13:54:13    

gandhi a écrit :

merci mais c'est pas grave
tu n'est pas le premier


 
la première   :lol:


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed