Virus recalcitrant sous windows XP

raphy89 · Avril 25, 2008, 10:42

Bonsoir,
j’ai un ami qui par tel me dit que son antivirus et anti-trojan ont trouvés le virus
virtualmode.dll
après multiple effacement, il réapparait toujours… je lui ai fait faire un scan antivirus en ligne , effacement mais après redemarrage il est toujours là…
une idée à part le formatage, il à trop de données sur sont poste
merci

Lustu · Avril 25, 2008, 10:52

Donne moi plus de détail anti virus etc
Télécharge hijackthis il le lance il clic sur “do a system scan and save a logfile” il génére un fichier texte il fait un copier coller et il le post pour qu’on l’analyse.
@+ :jap:
Edité le 25/04/2008 à 22:57

raphy89 · Avril 25, 2008, 10:58

Spybot search end destroy , c’est moi qui lui ait conseillé et il a avast antivirus
mais il ne peux plus installer aucun autre antivirus, ni faire de scan en ligne c’est bizarre

Lustu · Avril 25, 2008, 11:00

Qu’il essaye hijackthis tiens moi au courant.
@+ :jap:

raphy89 · Avril 25, 2008, 11:06

hijackthis ne se lance pas et quant il essaie de le retelecharger il est diriger vers une autre page en anglais.
il à essayer à partir d’un clf usb et rien à faire
plus d’antivirus rien. le noir total

Lustu · Avril 25, 2008, 11:12

Il arrive pas a l’installer ou a le lancer?
Si il n’arrive pas a le lancer il peut essayer ceci:
Clic droit sur le raccourcie > propriétés > rechercher la cible, une fois là il renomme hijackthis.exe en super.exe et il le lance depuis ce dossier.
@+ :jap:

vyger · Avril 25, 2008, 11:13

Salut Raphy89 je reponds à ton MP

Ce trojan est assez coriace… puisqu’il modifie le winlogon et certains fichiers windows…

dans tous les cas :

couper la connexion internet
booter en mode sans echec.

avoir sur un cd ou une clef usb

antivirus portable (ClamWin par exmple)
antitrojan (pour spybot tu peux copier le dossier d’installation, d’un PC propre)

et lancer les scans…

ca c’est la première étape

a+

raphy89 · Avril 25, 2008, 11:20

Merci. je lui communique et te tiens au courant
++

vyger · Avril 25, 2008, 11:21

Ok
a+

raphy89 · Avril 25, 2008, 11:34

ou telecharger l’antivirus

vyger · Avril 25, 2008, 11:35

désolé j’ai omis le liens :…:neutre:

www.infos-du-net.com…

a+

raphy89 · Avril 25, 2008, 11:45

merci

raphy89 · Avril 27, 2008, 10:51

ca marche, ,juste su(il n’a plus sa connection internet.
c’est du au manipulation?

vyger · Avril 27, 2008, 10:56

en reponse au MP…

c’est normal…

il lui faut taper ces commandes

NETSH WINSOCK RESET

NETSH FIREWALL RESET

NETSH INT IP RESET C:\RESETLOG.TXT

pour reinittialiser le protocole Internet (TCP/IP) et le pare feu au cas ou…

il redemarre ensuite

a+

raphy89 · Avril 27, 2008, 10:57

je vois ca demain avec lui
merci

vyger · Avril 27, 2008, 10:58

De rien

et n’hésites pas à me contacter

a+

raphy89 · Avril 28, 2008, 11:47

Bon tout fonctionne, mais pas moyen d’aaceder à son parefeu

que faire?

vyger · Avril 28, 2008, 11:53

c’est à dire…?

dans outils d’administration, services

Pare feu windows/et partage… inactif ?

il te suffit de demarrer le service…et de le laisser en automatique.

a+

raphy89 · Avril 29, 2008, 12:00

justement il est en automatique mais le demarrage est grisé.
qyand on clique dessus pour voir les parametres on à une fenetre
“le service bla bla ne put etre demarré.bla bla”

vyger · Avril 29, 2008, 12:07

bon une methode que je ien de trouver (chez crosoft) pour le pare feu:

Pour installer le Pare-feu Windows, procédez comme suit :

Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.
À l’invite de commandes, tapez la ligne de commande suivante, puis appuyez sur ENTRÉE :

Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf

Redémarrez Windows.
Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.
À l’invite de commandes, tapez la commande suivante, puis appuyez sur la touche Entrée :

Netsh firewall reset

Cliquez sur Démarrer, sur Exécuter, tapez firewall.cpl, puis cliquez sur ENTRÉE. Dans la boîte de dialogue Pare-feu Windows, cliquez sur Activé (recommandé), puis sur OK.

Méthode 2 : Ajout de l’entrée du Pare-feu Windows au Registre
Pour ajouter l’entrée du Pare-feu Windows au Registre, procédez comme suit :

Copiez le texte suivant dans le Bloc-notes,
puis enregistrez-le sous Sharedaccess.reg :

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,
6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Fournit des services de traduction d'adresses réseau, d'adressage IP, de résolution de noms et/ou de prévention d'intrusion pour un réseau de petite entreprise ou un réseau domestique."
"DisplayName"="Pare-feu Windows/Partage de connexion Internet (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,
69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,
00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\LEGACY_SHAREDACCESS\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Double-cliquez sur Sharedaccess.reg pour fusionner le contenu de ce fichier avec celui du Registre et créer l’entrée du Pare-feu Windows.
Redémarrez Windows.
Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.
À l’invite de commandes, tapez la commande suivante, puis appuyez sur la touche Entrée :
Netsh firewall reset
Cliquez sur Démarrer, sur Exécuter, tapez firewall.cpl, puis cliquez sur OK.
Configurez les paramètres requis pour le Pare-feu.

a+