Virus tres embarassant
Virus tres embarassant - Sécurité - Windows & Software
Marsh Posté le 01-12-2005 à 13:07:49
T'es multi-infecté...
Fixe ça :
C:\WINDOWS\MSmedia.exe
C:\WINDOWS\System32\winsystem.exe
C:\WINDOWS\System32\real.exe
C:\WINDOWS\system32\syscntrl.exe
C:\Program Files\Fichiers communs\Windows\services32.exe
C:\Program Files\Fichiers communs\Download\freeprodtb.exe
O4 - HKLM\..\Run: [internet connection] winsystem.exe
O4 - HKLM\..\Run: [Service] real.exe
O4 - HKLM\..\RunServices: [internet connection] winsystem.exe
O4 - HKLM\..\RunServices: [Service] real.exe
O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-110-12-0000190.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\real.exe
O23 - Service: Network Harware Detection (NetDDTC) (NetDDTC) - Unknown owner - C:\WINDOWS\system32\syscntrl.exe
Desactive la restauration système
Démarre en mode sans echec
Va supprimer :
C:\WINDOWS\MSmedia.exe (Tu peux supprimer rdriv.sys par la même occasion)
C:\WINDOWS\System32\winsystem.exe
C:\WINDOWS\System32\real.exe
C:\Program Files\Fichiers communs\Windows\services32.exe
C:\Program Files\Fichiers communs\Download\freeprodtb.exe
C:\Program Files\Fichiers communs\Windows\mc-110-12-0000190.exe
C:\WINDOWS\system32\syscntrl.exe
Ca devrait être clean maintenant
Pour t'en protéger à nouveau, commence déjà par réactiver la notification windows update (la backdoor (MSMedia.exe) l'a peut-etre desactivée), et appliques toutes les maj/hotfix (tu es en SP1, et ton IE est à la bourre aussi) histoire de limiter le stockage de worms sur ton disque dur...
Message édité par elooo le 01-12-2005 à 13:34:23
Marsh Posté le 02-12-2005 à 14:24:05
ok, merci bcp pour ton aide, je vais effectuer ça dès ce soir
Marsh Posté le 03-12-2005 à 11:20:44
Excusez moi mais j'ai quelques petits soucis pour booter en mode sans échec... A ma connaissance, il faut pousser sur F8 quand la machien charge. Ce F8 m'amene dans un menu bleu style "dos" qui me permet de choisir mon lecteur de boot. Mais rien la dedans concernant un mode sans échec.
Je ne m'y connais pas bcp donc merci pour votre indulgence 
Marsh Posté le 03-12-2005 à 12:00:14
Petits problèmes restants:
je n'ai pas réussi à trouver ces fichiers (en mode sans échec):
| Citation : C:\WINDOWS\MSmedia.exe |
et bien sur, ces lignes se lancent toujours:
| Citation : O4 - HKLM\..\Run: [Service] real.exe |
y aurait-il qqch d'autre a faire ?
De plus il me detecte un nouveau virus dans
| Citation : c:\Windows\system32\scchosts.exe |
mais la, egalement, rien en mode sans echec
D'avance, merci pour les conseils
Marsh Posté le 04-12-2005 à 23:19:03
Essaye dans les otpions de dossier de décocher "masquer les fichiers protégés du systéme d'exploitation" et de cliquer sur l'onglet "afficher les fichiers et dossiers cachés".
ça devrait fonctionner
bon courage
Marsh Posté le 05-12-2005 à 20:36:36
Merci, ce n'etait pas ca mais ca m'a mis sur le chemin, c'etait en fait l'affichage des fichiers systeme qu'il fallait activer.
J'ai tout trouvé sauf celui-ci:
| Citation : C:\WINDOWS\System32\real.exe |
Sujets relatifs:
- [Recherche] Anti virus gratuit
- demarrage tres lent sous xp
- aide pour suprimer un virus car je suis débutant
- Ordi très lent.....Help VIRUS
- Virus, Torjan, ou simplement appli/drivers à la con ?
- Bug ou Virus sur Windows ?
- Virus blaster, cheval de troie trojans je sais plus quoi faire!
- Gros problème de virus
- Aide, Virus "Reboot intempestif"
Marsh Posté le 30-11-2005 à 19:27:28
Bonjour,
j'ai un gros problème avec un (des) virus. Je vais tout d'abord résumer les problèmes encourus, ce que j'ai tenté, ce qui a été résolu et ce qui persiste...
1) Lorsque j'ai allumé mon pc, plus aucun executable ne voulait se lancer, meme pas le poste de travail ou IE.
2) Après recupération des données importantes, j'ai formaté purement et simplement, question de mettre à neuf.
3) Malgré cela, certains problème ont persisté, comme un ralentissement général, mais pas trop important, mais surtout un ralentissement très très important de ma connection à internet: de longs moment pour afficher une simple page web, des vitesses de téléchargement très faibles sur de bons serveurs ou encore de gros temps de latence dans un jeu tel que wow, le rendant injouable.
4) j'ai installé l'antivirus avast qui a detecté qqch: le fichier rdriv.sys infecté dans le répertoire /Windows/system32. Impossible de supprimer ce fichier: utilisé par un autre processus, ou alors il se supprime mais revient dans la seconde.
5) j'ai suivi des directives sur ce forum, suite au même style de virus (dsl mais je ne le retrouve plus pour le numéro de sujet). J'ai utilisé le logiciel HiJackThis et cela a résolu le problème en partie mais pas totalement. Je retrouve une connection correcte pendant un certain moment puis après un certain temps, plus rien, je ne sais meme plus afficher une page web et je dois reboot.
6) après un certain moment, lorsque je suis connecté à internet, une petite application se lance "FreeProd" qui lance l'installation d'une barre d'outil dans IE. J'ai trouvé qu'il s'agissait d'un spyware ou d'un vers mais je n'arrive pas à le virer. De plus, le fichier rdriv.sys dans Windows\system32 existe toujours, mais impossible de le supprimer.
Voici le fichier de log HiJackThis apres le chargement de FreeProd:
Logfile of HijackThis v1.99.1
Scan saved at 19:21:19, on 30/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\MSmedia.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\System32\winsystem.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\real.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\syscntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Windows\services32.exe
C:\Program Files\Fichiers communs\Download\freeprodtb.exe
I:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [internet connection] winsystem.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Service] real.exe
O4 - HKLM\..\RunServices: [internet connection] winsystem.exe
O4 - HKLM\..\RunServices: [Service] real.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-110-12-0000190.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A282AE8-9C0A-4BBA-9BD9-1494E879E763}: NameServer = 195.238.2.21 195.238.2.22
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\real.exe
O23 - Service: Network Harware Detection (NetDDTC) (NetDDTC) - Unknown owner - C:\WINDOWS\system32\syscntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Je supprime la ligne
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A282AE8-9C0A-4BBA-9BD9-1494E879E763}: NameServer = 195.238.2.21 195.238.2.22
mais rien n'y fait elle revient. J'ai de gros doutes quand aux lignes qui lancent le proxessus real.exe (aucun player installé en dehors de wmp).
J'ai egalement supprimé la ligne
O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-110-12-0000190.exe
mais elle revient également.
Le fichier rdriv.sys dans /windows/system32 est egalement impossible a supprimer (impossible, ou il revient)
Merci pour l'attention que vous portez à la résolution de mon problème.