Virus indelogeable et invisible - Sécurité - Windows & Software
Marsh Posté le 13-02-2004 à 16:45:31
ces fichiers sont ils tous dans system32 ?
Marsh Posté le 13-02-2004 à 16:53:09
Il me semble, mais je suis pas sur a 100%.
Pourquoi, ça change quelque chose?
Marsh Posté le 13-02-2004 à 16:53:13
Tu peux lire mon sujet : http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269
copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.
Explications en français sur HijackThis
http://assiste.free.fr/p/internet_ [...] hijack.php
Tu peux faire un scan antivirus en ligne ici
http://www.secuser.com/outils/antivirus.htm
Hijack montre 99 % des virus.
Marsh Posté le 13-02-2004 à 16:55:42
OK, je vais faire un scan dés que possible ainsi que mettre HijackThis.
Marsh Posté le 13-02-2004 à 17:21:10
Edgard a écrit : Il me semble, mais je suis pas sur a 100%. |
Oui :-) chose que j'ai repérée y'a pas très longtemps.
Dans system32/, y'a un sous dossier dllcache/ caché et compressé (faut faire afficher les fichiers du système d'exploitation dans option des dossiers pour le voir) qui contient une copie des fichiers 'importants' de system32/, et qu'il recopie dans system32/ dès qu'ils en sont modifiés ou supprimés. Ton virus se cache peut être dedans et ton antivirus ne voit pas ce dossier... ?
Marsh Posté le 13-02-2004 à 17:58:49
mois ça m'est arrivé pour un .ace ... il faut le suppimer a la mano en mode ss echec ...(j C tjrs pas pkoi...)
Marsh Posté le 13-02-2004 à 18:41:46
desactive la restauration sysyteme
ensuite scan avec ton anti virus
pense a reactiver ta restauration
Marsh Posté le 13-02-2004 à 19:22:41
si ton virus reviens tout le temps c'est surement que ton systéme n'est pas correctement patché.
utilise windows update ci dessous.
http://windowsupdate.microsoft.com/
Marsh Posté le 13-02-2004 à 19:59:08
Ben si, je fait un windwos update régulièrement, et je suis à jours, j'ai fait un scan ad-aware aussi.
Je viens de finir le scan antivirus en ligne, et rien trouve.
Marsh Posté le 13-02-2004 à 22:42:24
Ah ben maitnenant c'est secte.exe qu'il a trouver et qu'il a supprimé, nouveau celui là.
D'où ils peuvent bien venir tout ces virus de merde.
Logfile of HijackThis v1.97.7
Scan saved at 22:36:14, on 13/02/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\NetCaptor\NetCaptor.exe
D:\Divers\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Personnaliser - C:\Program Files\PROMT98\promtie4\options.htm
O8 - Extra context menu item: Rechercher sur Internet - C:\Program Files\PROMT98\promtie4\search.htm
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Traduire - C:\Program Files\PROMT98\promtie4\translat.htm
O8 - Extra context menu item: Traduire dans R-Express - C:\Program Files\PROMT98\promtie4\wts.htm
O8 - Extra context menu item: Traduire la page - C:\Program Files\PROMT98\promtie4\page.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/office [...] t/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 2683912037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBFFFC25-223B-47CC-94CF-4A0748E02D92}: NameServer = 212.35.2.1,168.95.192.1
Marsh Posté le 13-02-2004 à 23:41:03
J'ai trouver un truc, en tout k en partie, dans windows xp, dans start/all programs/ accessories/system tools, y a sheduled tasks.
J'ai vu dans l'event viewer que aux heure kaspersky trouvais le virus msnv32.exe une task c'etais lance a ce moment la.
et la je suis dans le sheduled tasks et je vois trois tache que j'ai jamais cree qui semble cree les fichier msnv32.
Mais il en reste que trois qui doivent se lancer demain samedi, je les ais donc efface, et j'espere que c'est de la que venais les autres aussi.
Je vois dans l'event viewer qu'il y a eu plus d'une trentaine de tâches qui se sont lancées, et qu'une seule fois chacune, il en restais trois donc j'espere que maintenant c'est bon et que c'etais ca.
Marsh Posté le 14-02-2004 à 00:04:19
http://securityresponse.symantec.c [...] sdbot.html
Doit y avoir des infos utiles ici.
Marsh Posté le 14-02-2004 à 00:19:24
Mauvaise nouvelle, de nouveau le fichier à été recrée et supprimé, donc en fait à ce que je comprend, ce fichier est crée par je ne sais quel programme ou autre, mais en plus ce programme crée des "sheduled tasks" qui ont pour but de le lancer à un moment precis de la journée ( oui j'ai trouver une nouvelle tache de crée dans le sheduled task ), bref, fait chier.
Et Sielfried, j'ai rien trouver comme fichier en rapport avec ceux presente par symantec, ni de cle qui s'y rapporte dans la base de registre.
Marsh Posté le 14-02-2004 à 04:17:01
ReplyMarsh Posté le 14-02-2004 à 15:56:54
Je crois que cette fois c'est bon, grace au lien de Sielfried, qui m'a mis sur la voie.
C'étais ça il semblerait http://securityresponse.symantec.c [...] dex.f.html mon mot de passe etait computer justement.
Je savais que c'étais pas original, mais pas à ce point là.
Enfin, je l'ai changer et depuis j'ai pas encore eu de problème, donc espérons que ça dure.
En tout cas, merci pour votre aide les gars.
Marsh Posté le 13-02-2004 à 16:10:56
Je viens de réinstaller windows XP après un formatage de mon C, et ai mis Kaspersky comme antivirus, mis à jours bien sur.
Mais voilà le soir quand je rentre chez moi et que je regarde le log de Kaspersky, je vois qu'il a trouver un fichier virusé, qu'il a effacé bien sur.
Le problème, c'est qu'il y a une liste d'une dizaine d'infection et de delete, mais des deux ou trois même fichiers, qui sont scchost.exe et msnv32.exe principalement, infecté par backdoor.sdbot.gen ou backdoor.sdbot.dc ou backdoor.sdbot.ck.
Y en a eu d'autre aussi, mais je n'ai pas pris soin de les noter, pensant que le problème etait réglé.
Ces fichiers sont donc trouvé infecté, effacé et retrouvé de nouveau infecté une demi heure plus tard.
Ils n'arrêtent pas de revenir sans arret en boucle.
Et j'ai eu beau faire un scan complet de mons PC plusieurs fois, il ne trouve aucun autre fichier infecté, donc, j'ai donc un système clean apparemment, ce qui n'empêche pas le lendemain de ré-avoir cette liste de fichiers in fecté et effacé dans le log.
Je vois pas quoi faire d'autre pour résoudre ce problème, car je vois pas comment ce virus peut se retrouver sans arret sur ma machine si il a été effacé, j'ai aussi fait un scan en ligne, et ca ne change rien.
J'ai regarder si un programme inhabituel tournais en tache de fond, je n'ai rien vu d'anormal non plus.
Donc en bref, HELP!!!!!