Forum Clubic

...aidez-moi à supprimer un virus ... svp ! - ... ishost.exe

bonjour à tous ! :slight_smile:

Voilà, je ne m’y connais pas trop … en regardant sur divers forum, je me suis aperçu que j’avais un virus : ishost.exe.

Je l’ai bloquer avec " lock’n stop " mais je ne sais pas comment m’en débarrasser … je sais que la procédure est un peu longue et personnalisée … ce pourquoi je demande l’aide de qq’1 qui peut venir en aide du début à la fin de la suppression de ce virus … merci :’(

Regarde ici: http://www.sophos.fr/security/analyses/trojzlobos.html

merci … je vais regarder ça … :slight_smile:

j’ai effectué les manips de cette page http://siri.geekstogo.com/SmitfraudFix_Fr.php …apparement, tout semble ok …

voici ce qu dit hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 18:44:00, on 09/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Soft4Ever\looknstop\_looknstop.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\easystar\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\…\Run: [Look ‘n’ Stop] “C:\Program Files\Soft4Ever\looknstop\looknstop.exe” -auto
O4 - HKLM\…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE
O4 - HKLM\…\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\…\Run: [NVMixerTray] “C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe”
O4 - HKLM\…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe”
O4 - HKLM\…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra ‘Tools’ menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O20 - Winlogon Notify: winkve32 - C:\WINDOWS\SYSTEM32\winkve32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

est-ce-que mo système est ok selon vous ?? …

O20 - Winlogon Notify: winkve32 - C:\WINDOWS\SYSTEM32\winkve32.dll <-- trojan

tu devrais télécharge Ewido pour parfaire le nettoyage - il faut faire le scan en mode sans échec et la restau système désactivée ( /!\ à réactiver après le nettoyage)
http://www.ewido.net/en/download/ <-- clique sur "Updates" pour le mettre à jour

désactiver la restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

mode sans échec
http://service1.symantec.com/SUPPORT/INTER…020325143456924

CCleaner <-- pour vider fichiers temp, historique, cookies, etc … (mode normal)
http://www.clubic.com/telecharger-fiche144…p-cleaner-.html

Tu peux l’utiliser avant le scan Ewido pour éviter une longue liste inutile de “cookies”

ben tous ça c’est pas net

si tu as instaler le kit de connection wanadoo vire le :lol:

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O4 - HKLM\…\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"

O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O20 - Winlogon Notify: winkve32 - C:\WINDOWS\SYSTEM32\winkve32.dll

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

[édit] en mode sans échec si possible

http://www.clubic.com/forum/-topic-officie…pc-t323378.html

ok … merci …

j’ai un autre disque dur (qui n’a jamais été installé dans mon pc jusqu’à présent) … je comptais faire une nouvelle installation de mon système sur ce disque dur puis, une fois l’installation faite, brancher à nouveau l’ancien disque (celui sur lequel il y a le troyen) afin d’abord d’y récupérer des fichiers (mkv, avi, mp3) puis le formater …

ma question est : étant certain de la fiabilité des fichiers que je souhaite récupérer(copier/coller des fichiers à récupérer), y-a-t-il tout de même un risque que le troyen (ou autre virus) migre vers mon nouveau système (donc sur le nouveau disque dur) ?

en outre, un formatage suffira-t-il à supprimer le troyen ou tout autre chose (virus, spyware …) ? doit-on faire un formatage (de l’ancien disque dur) à partir de du système fraîchement installé ou faut-il le faire avec une disquette de démarrage (sous DOS) ?

Pourquoi vouloir absolument faire un formatage?

Il existe un topic officiel, avec une procédure de désinfection (section 4) suffisante dans 90% des cas.)

http://www.clubic.com/forum/-topic-officie…pc-t323378.html

:jap:

oui, c’est vrai je l’ai lu … mais par curiosité, si on a un disque dur avec un système installé dessus (dénué de tous virus ou autres), et qu’on installe à ses côtés (donc dans la même machine) un autre disque dur qui contient troyens, virus … est-ce que cela entraîne nécessairement l’infection du nouveau système si l’on récupère sur le disque dur vérolé des fichiers dont on est certain qu’ eux sont fiables ?

et enfin, lorsqu’on veut formater un disque dur vérolé … peut-on le faire à partir de windows xp en mode normal ou faut-il le faire selon une autre méthode pour être certain que les virus et autres seront suppimés (dans ce dernier cas, que faut-il faire?) ? :slight_smile:

ben simple : si tu est sur de vouloir formater, tu dois d’abord être assuré d’avoir une nouvelle clef windows. ça coute à peu près 90 € pour avoir une nouvelle clef, sans quoi tu ne pourras pas activer ta version au bout des 30 jours (ou alors tu as Windows Lsd … :miam: )

Bon sinon, à l’allumage de ton pc, regarde bien ce que te dis ton setup. Techniquement si tu appuies sur f8 tu vas pouvoir ouvrir le " boot " (fait vite, ça apparait juste après l’affichage du nom de ta carte graphique)

Une fois sur le menu, met ton cd d’installation de windows, et choisis la lettre du lecteur correspondant à celui dont tu viens de mettre le cd.

Et y’a plus qu’à suivre les instructions. Tu vas pouvoir formater tout ton disque dur via cette installation “dos” , recréer une partition ntfs principale et réinstaller windows.

J’espère que t’as du temps à tuer (enfin ça dépend de la taille de ton disque dur) car pour 160 go, ça prend à peu près 1heure et demie

Mais je me répete: formater pour un problème de virus ce n’est pas forcément la meilleure solution :wink:

telecharge avast! sa marche tout seul il te suppr tout et en plus il é gratuit

Il ne supprimera pas forcément tout "tout seul" de plus il existe un topic avec une procédure de désinfection. :jap:

c’est bon… enfin je crois … je suis allé sur http://www.secuser.com, j’ai effectué "antivirus en ligne ". Il m’a détecté le fameux troyen " O20 - Winlogon Notify: winkve32 - C:\WINDOWS\SYSTEM32\winkve32.dll " et apparement, à la fin de la procédure de scan, il m’a proposé de le supprimer … ce que j’ai fait.

je refait un scan de mon disque par www.secuser.com … puis après je lance windows en mode sans échec et je vide le cache de mon navigateur web etc etc …

par contre pour les entrées dans la base de registre à supprimer … comment fait-on ??
si j’utilise crapcleaner, ça suffirat selon vous … ???

le mieux c de suivre pas à pas la méthode proposée

c’est fait … avec l’aide qu’on m’a fournie, je pense que c’est ok maintenant …j’ai analyser le scan en toute fin de procédure (analyse antivirus, analyse antivirus en ligne, ad-aware, spybot, SmitfraudFix etc…) de hijackthis avec le tuto de clubic et il semble que tout soit rentré dans l’ordre …

en fait, j’ai bien un question encore mais il faut que je change de topic ! lool

merci à ceux qui m’ont apporté leur aide !!! :clap: :jap: