aie aie aie gros virus - Win NT/2K/XP - Windows & Software
Marsh Posté le 06-11-2005 à 23:52:57
je suis sous XP pro SP2
je n'ai d'autre firewall que celui d'XP
et je ne connais pas le nom du virus a part que celui qui l'a lancé c'est "text.exe"
Marsh Posté le 07-11-2005 à 00:11:09
si mais il n'a rien fait contre !-(
d'ailleurs je change dès que tout est revenu dans l'ordre.
Marsh Posté le 07-11-2005 à 09:19:02
J'ajoute que j'ai même essayé d'utiliser le fix de symantec conter le virus bagle, en mode sans echec, et qu'il n'a rien trouvé !
Marsh Posté le 07-11-2005 à 09:51:36
Hello,
ben c'est le caca ça...essaie ça : http://download.nai.com/products/m [...] _g_e_r.exe
Il tient sur une disquette et peut s'avérer efficace pour peu que le virus soit connu. Essaie aussi avec HijackThis et poste le log ici. Tu peux éalement poster le corps du mail, s'il n'est pas vide : cela peut aider à son identification. Regarde aussi dans tes processus ainsi que dans Program Files et %windir%, des fois que tu aies tout à coup des exécutables/répertoires "bizarres" qui se soient installés.
Marsh Posté le 07-11-2005 à 10:37:53
Merci pour les idées.
je test dès que possible et vous tiens au courant.
@+
Marsh Posté le 07-11-2005 à 21:56:55
Hello @ tous,
je viens de tester avec stringer en mode sans echec, il ne m'a rien trouvé. A savoir que je ne peux pas lancer stringer si je ne suis pas en mode sans echec.
Voici le fichier log de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 21:46:50, on 07/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
A:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netoccas.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [auto__hloader__key] C:\WINDOWS\System32\hloader_exe.exe
O4 - HKLM\..\Run: [auto__antiav__key] C:\WINDOWS\System32\antiav_exe.exe
O4 - HKCU\..\Run: [auto__hloader__key] C:\WINDOWS\System32\hloader_exe.exe
O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\System32\antiav_exe.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EASYPH~1\Apache\apache.exe" --ntservice (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci de votre aide, je craque !!!
Marsh Posté le 08-11-2005 à 10:02:16
Si.
Shoote ces lignes puis vire les fichiers y ayant trait :
O4 - HKLM\..\Run: [auto__hloader__key] C:\WINDOWS\System32\hloader_exe.exe
O4 - HKLM\..\Run: [auto__antiav__key] C:\WINDOWS\System32\antiav_exe.exe
O4 - HKCU\..\Run: [auto__hloader__key] C:\WINDOWS\System32\hloader_exe.exe
O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\System32\antiav_exe.exe
Fais un scan en ligne sur http://housecall.trendmicro.com ou sur http://www.kaspersky.com/virusscanner.
Après ça, un coup de spybot, mets à jour ton windows et ça devrait aller mieux.
@+ !
Marsh Posté le 08-11-2005 à 10:15:34
Ok je vais tenter de supprimer les lignes dont tu me parles. (pour ca, je les coches dans HijackThis c'est ca ?)
ensuite pour la consultation en ligne, ca risque d'etre plus dure car depuis que j'ai ca sur mon ordi mes connexions reseau sont désactivées, et impossible de les remettre.
par contre je pense pouvoir lancer spybot.
Je vous tiens au courant.
@+
Marsh Posté le 08-11-2005 à 10:43:49
Si tu shoote les lignes dans HijackThis et que tu vires les fichiers incriminés, tu devrais pouvoir remettre en route les connections réseau.
Marsh Posté le 09-11-2005 à 11:05:44
Bonjour @ tous,
j'ai testé hier soir de supprimer les 4 lignes dans HIjackThis, ca à fonctionné sans problème, mais par contre je n'ai rien pu faire d'autre.
La connexion internet n'est toujours pas revenu, j'ai tenté de ré-installer les pilotes de ma carte pci Wifi, mais comme a l'habituel, il m'est impossible de lancer une application.
J'ai tenté de réparer windows XP, mais pareil, aucun changement.
Vous avez unei idée de ce que je peut faire a part formater ?
Merci
Marsh Posté le 09-11-2005 à 11:52:52
trouves un autre ordi bien musclé (bon antivirus et blindé à mort) et nettoie le pc infecté.
si tu peux pas te connecter au web avec le pc vérolé, y'a qu'ça que je vois...
Marsh Posté le 09-11-2005 à 13:10:26
C'est ce à quoi je pensais, je comptais enlever mon DD, et le brancher sur le PC d'un pote pour l'analyser.
Je vais tester et vous tiens au courant.
Merci et @+
Marsh Posté le 10-11-2005 à 12:23:12
Tu peux toujours télécharger avast www.avast.com que tu mettras sur une clé USB ou sur un CD puis tu l'install sur le PC infecté (mais faut t'enregistrer pour avoir une clé gratuite)
S'il détecte des truc en mémoire il va te proposer de faire un scan avant le chargement de windows, t'accepte et tu pourras virer tout ce qui ne va pas.
N'oublie pas de téléchager et de faire la mise à jout après l'installation d'avast mais avant de le lancer
http://www.avast.com/eng/update_avast_4_vps.html
J'avais dans les mains un portable entièrement infecté (plus de 600 éléments) et j'ai réussi à le désinfecté avec avast
Marsh Posté le 10-11-2005 à 14:31:54
Merci du conseil.
Mais a priori j'ai peut-être trouver une solution. J'ai emmener hier mon DD chez un pote. Je l'ai branché sur mon ordi, et scanné a l'antivirus. il a trouvé une dizaine de virus et autres trojan. je vais essayer de remettre ce soir le DD sur mon ordi pour voir ce qu'il se passe.
Y'a plus qu'a croiser les doigts.
Marsh Posté le 14-11-2005 à 12:31:48
Bon bah je n'ai pas eu d'autres solutions que de formater le DD !!, bien qu'en l'analysant depuis un autre pc, nous avons identifier puis supprimer le virus qui a foutu le bazarre, je n'ai pas pu reprendre le controle du PC.
Mais ca fait quand même du bien de repartir sur un PC tout propre de l'interieur.
@+
Marsh Posté le 06-11-2005 à 23:40:16
Salut @ tous,
je viens de véroler ma machine, j'ai ouvert par erreur un fichier qui m'a été envoyé par mail, son nom était text.exe, je pensais que c'était un fichier flash que je m'étais envoyé le matin.
Depuis ce satané virus m'a bloqué mes connexions internet, et je ne sais plus quoi faire.
Vous avez une idée de la marche a suivre ? sachant que j'ai testé le mode sans echec, sans resultat !
Merci et @ plus